ich nutze PGP4Win. Dabei funktioniert die PGP-Variante mit Kleopatra und Enigmail super. Ich kann Schlüssel erstellen, verwalten und eMails unterschreiben und verschlüsseln.
Aber mit dem X.509 habe ich meine Probleme. Kleopatra erstellt mir problemlos einen Schlüssel. Aber diesen muss ich ja signieren lassen. Also hat mir das Programm eine .p10 Datei mit meinem Public-Key erstellt. Aber cacert.org verlangt gar keine .p10-Dateien. Sondern ein csr-Format (oder so).
Da Kleopatra mir aber weder den privaten noch den öffentlichen Schlüssel in irgendeiner Form anzeigt, kann ich diesen auch nicht erneut oder in einem anderen Format speichern.
Außerdem würde ich gerne abgesehen von den eMail-Schlüsseln mir gerne ein Schlüsselpaar für meinen NAS-Server erstellen. Der dort vorhandene Schlüssel ist nicht zertifiziert und abgelaufen. Dieser braucht das x.509 Schlüsselpaar im .pem Format.
Kann mir einer tiefergehende (windowsbasierte) Hilfe anbieten, als die spartanische (Bedienungs-)Anleitung???
schon mal zwei Hinweise:
Angezeigt werden Zertifikate nur (meiner Erinnerung nach), wenn das öffentliche
Zertifikate auch drin ist. Wenn Du Dein Schlüsselpaar erzeugt hast, dann muss eine
Zertifizierungsstelle (“ca”) Deinen öffentlichen Schlüssel erst signieren, damit
Du ein öffentliches Zertifikat hast. Wenn Du das einspielst, siehst Du es auch und
kannst den privaten Teil auch nutzen.
.p10 steht für pkcs#10 und ist das Format für Zertifikatsanfragen, siehe https://de.wikipedia.org/wiki/PKCS und hat den Inhalt von .csr Dateien.
PEM und DER sind zwei verschiedene Möglichkeiten solche Dateien zu kodieren,
bei gleichem Inhalt. Sie lassen sich ineinander überführen.
Eigentlich sollte eine Zertifizierungsstelle mit beiden Kodierungen zurecht kommen.
also irgendwie bin ich mir aktuell gar nicht so sicher, ob cacert.org diesen Zertifizierungsservice in der Form, wie vorgeschlagen überhaupt anbietet.
Vielleicht ist das auch der Grund, was zu meinen Verwirrungen geführt hat.
Ich habe dort die Möglichkeit ein Client-Zertifikat zu “beantragen”. Dann rödelt der Otto ne Weile rum und ich bekomme eine PEM oder DER Datei angeboten. Ohne dass überhaupt nach meinem Pub-Key gefragt wurde. Diesen Key kann ich in meinem Kleopatra tatsächlich importieren und als Bonus wird mir auch hübsch x.509 angezeigt.
Allerdings kann ich nicht nachvollziehen wozu dieses Zertifikat gut sein soll. Ich habe nicht den Eindruck, dass mir ein kompletter Key generiert wurde. Denn einen privaten Key exportieren kann ich nicht. Verschlüsseln oder Ähnliches wird ebenfalls nicht angeboten und fettgedruckt ist der Key auch nicht (was mir ein Indiz zu sein scheint, dass es sich um einen privaten Key handelt).
In der Anleitung von Cacert wurde die Möglichkeit angeboten den Key in den Browser zu integrieren. Was soll er denn da? Da kann ich doch höchstens root-Zertifikate brauchen.
Irgendwie bin ich hiermit überfordert. Vielleicht denke ich auch an irgendeiner Stelle einfach nur falsch rum.
Ich habe in der Zwischenzeit jemanden gefunden, der mir etwas weiterhelfen kann. Es ist anscheinend so, dass man sich nicht einfach so bei cacert anmelden kann und kann dann direkt loslegen. Man muss sich erst verifizieren.
Sich vereinsmäßig von anderen Mitgliedern seine Identität bestätigen lassen. Dadurch Punkte sammeln und erst ab einer gewissen Anzahl an Punkten erhält man die Option, die ich benötige.
Ich vermute, dass deshalb die Option, die ich benötige gar nicht angezeigt wird. Genau wie bei PGP der Schlüssel, den ich erstellt habe nicht angezeigt wird. Das führt dazu, dass ich als User nicht sehe, was ich da mache und dadurch nicht weiter komme.
Wikipedia erklärt es aber dann doch ganz gut.