- Schlüssel erstellen
- den Schlüssel (.key-Datei) darfst Du nicht aus der Hand geben - der muss vertraulich bleiben
- daher wird hier eine Passphrase abgefragt, die den privaten Schlüssel schützt
- CSR (Zertifizierungsanfrage) erstellen
- CSR an einen der beiden Vorstände schicken (Anm.: die Vertraulichkeit des CSR ist nicht schützbedürftig - Du kannst die Datei also per unverschlüsselter Mail oder über den CHat-Server verschicken)
- der Vorstand prüft, ob Du Mitglied bist und ob der CSR zu Dir gehört, signiert den CSR anschließend und schickt Dir eine .crt-Datei zurück (Anm.: weder Vertraulichkeit noch Authentizität der .crt-Datei sind schützbedürftig)
- jetzt musst Du noch das Zertifikat (.crt) und den Schlüssel (.key) in eine Datei (PKCS12, .p12) zusammenfügen
- PKCS12-Datei in Browser importieren
Name: Max Mustermann
Mailadresse: Max.Mustermann@t-online.de
- Schlüssel erstellen (Obacht: „Max", "Mustermann" und "@t-online.de“) immer schön ersetzen; da steht dann nachher Dein/e Name/Mail-Adresse)
openssl ecparam -genkey -name prime256v1 | openssl ec -aes256 -out Max.Mustermann\@t-online.de.key
-> jetzt hast Du die .key-Datei erstellt
- csr-Datei erstellen (Obacht! keine Umlaute im Namen verwenden; sieht sonst hässlich aus...)
openssl req -new -sha256 -key Max.Mustermann\@t-online.de.key -subj "/C=DE/ST=BW/L=Offenburg/CN=Max.Mustermann/emailAddress=Max.Mustermann\@t-online.de" -out Max.Mustermann\@t-online.de.csr
-> jetzt hast Du aus mit der .key-Datei eine .csr-Datei erstellt
- csr-Datei an den Vorstand schicken
- der Vorstand prüft und signiert diese und schickt Dir eine .crt-Datei zurück
- aus der .crt-Datei und der .key-Datei erstellst Du nun eine .p12-Datei (PKCS#12-Zertifikat) .p12 Zertifikat, welches Du dann in den Browser importierst (ACHTUNG signiertes Zertifikat [.crt] und Schlüssel [.key] .keynotwendig!)
openssl pkcs12 -export -out Max.Mustermann.p12 -inkey Max.Mustermann@t-online.de.key -in Max.Mustermann\@t-online.de.crt