Windows 10 bietet Kommandozeilenprogramme für alle notwendigen Schritte, um einen öffentlichen/privaten Schlüssel zu erstellen, ein Zertifikat von CAcert zu erhalten und es für die Verwendung in anderen Anwendungen — wobei Webbrowser wie Firefox Zertifikate separat verwalten — oder auf einen anderen Rechnern zu exportieren. Dies sind die Schritte: 1. Erstellen Sie einen öffentlichen/privaten Schlüssel und einen Certificate Signing Request (CSR) mit einer gemeinsamen Vorlage. 2. Senden Sie die CSR an die CAcert CA, erhalten Sie das Client-Zertifikat und speichern Sie es (im PEM-Format) in einer CRT-Datei. 3. Importieren Sie das Zertifikat in die «Persönlichen» Zertifikate des aktuellen Benutzers (Sie). Dann wird es mit dem privaten Schlüssel verknüpft. Wichtig ist hier der Zweck der Client-Zertifikate — ihre Verwendung in Client-Programmen. Der Computer selbst kann ein PC, ein Laptop, eine Workstation, ein Server, ein Tablett oder ein «intelligentes» Mobiltelefon sein. 4. Wenn Sie Ihr Client-Zertifikat auf einem anderen Computer verwenden möchten, müssen Sie das Zertifikat mit dem entsprechenden privaten Schlüssel in eine Datei vom Typ P12 mit der Erweiterung PFX exportieren.

n

Sie können es dann auf einen Zielcomputer und/oder ein Client-Programm importieren. Bei Windows-Betriebssystemen verwenden Sie das MMC-Zertifikatsmodul, auf Tabletts oder Mobiltelefonen reicht es häufig aus, die Datei zu öffnen. Öffnen Sie den Windows-Explorer: Halten Sie die «Win»-Taste gedrückt und geben Sie «e» ein (oder über das Menü). Erstellen Sie einen neuen Ordner über das Kontextmenü: Klicken Sie mit der rechten Maustaste und wählen Sie «Neuer Ordner». Laden Sie die CSR.inf herunter und speichern Sie sie in dem neuen Ordner. Wenn Sie mit Zertifikaten vertraut sind, können Sie die Datei CSR.inf bearbeiten und die Parameter für den Schlüssel anpassen. Die mitgelieferte Datei sieht eine RSA-Verschlüsselung mit einer starken Schlüssellänge vor. Windows-Zertifikatspeicher angezeigt und kann nach Belieben angepasst werden. Vollständig ignoriert werden «Subject» und «KeyUsage» (für CAcert) — die möglichen Nutzungs- und Personendaten wählen Sie später im Webportal aus. Öffnen Sie schließlich ein Befehlsfenster für den oben erstellten Ordner: Halten Sie die Umschalttaste gedrückt und klicken Sie mit der rechten Maustaste auf diesen Ordner — wählen Sie im Menü «Befehlsfenster hier öffnen».

n

Prüfen Sie bei einer Fehlermeldung die Pfade und ob sich die CSR.inf wirklich im aktuellen Ordner befindet (der in der sog. Ihrer CSR in Notepad. Markieren Sie den gesamten Inhalt und kopieren Sie ihn in die Zwischenablage (Strg-A, dann Strg-C). Markieren Sie das Kästchen «Erweiterte Optionen anzeigen». Fügen Sie den Inhalt der CSR (Strg-V) in dieses Feld ein. Geben Sie in das Feld «Optionaler Kommentar» einen Kommentar ein, der Ihr neues Zertifikat nur in der Liste in Ihrem Konto ausweist. Vergessen Sie nicht, Ihr Einverständnis mit dem CAcert Community Agreement zu erklären, indem Sie das Kästchen unten ankreuzen. Drücken Sie die Schaltfläche «Absenden». CAcert stellt Ihr Client-Zertifikat aus. Sie können es im PEM-Format (.crt-Dateiendung) oder im DER-Format (.cer-Endung) herunterladen und in dem zuvor erstellten Ordner speichern, in dem Sie das Befehlsfenster geöffnet haben. Beachten Sie, dass das Zertifikat nicht den privaten Schlüssel enthält, da dieser auf dem Computer verbleibt, auf dem Ihre CSR erstellt wurde.

n

Angenommen, Sie haben das Zertifikat im PEM-Format in eine Datei mit der Endung .crt heruntergeladen, dann müssen Sie nun das Zertifikat in das Betriebssystem (Windows 10) importieren. Sie können ein Zertifikat mit dem zugehörigen privaten Schlüssel in eine P12-formatierte Datei mit dem Suffix PFX exportieren. Auf diese Weise können Sie Sicherungskopien erstellen, aber auch ein Zertifikat mit dem zugehörigen privaten Schlüssel auf einen anderen Computer, ein Tablett, ein Mobiltelefon usw. Client-Programme, die über einen eigenen Zertifikatspeicher verfügen, wie z. B. der Webbrowser Firefox und das E-Mail-Client-Programm Thunderbird. Öffnen Sie den Zertifikatsmanager: Halten Sie die «Win»-Taste gedrückt und geben Sie «R» ein. Zeigen Sie das Menü an, indem Sie mit der rechten Maustaste auf das Zertifikatsobjekt klicken. Wählen Sie «Alle Aufgaben» — «Exportieren». Es erscheint ein Export-Assistent. Auf der zweiten Seite müssen Sie eine wichtige Entscheidung treffen. Bei der Auswahl des Exports des privaten Schlüssels wählen Sie gleichzeitig das Ausgabeformat P12 (.pfx-Suffix) und den gesamten Ablauf des Exports. Drücken Sie die Schaltfläche «Weiter». Die PKCS 12 (P12)-formatierte Datei mit dem Suffix PFX ist bereits vorausgewählt. Sie können weitere nützliche Optionen hinzufügen, wie vorgeschlagen (siehe Bild). Wurzelzertifikate der CA aus der resultierenden Datei (in diesem Fall CAcert) zu importieren.

n