Um ein Zertifikat für den Zugriff auf das Nerdschloss zu erstellen und in Deinem Browser zu installieren, braucht es nur ein paar wenige Schritte

  1. Schlüssel erstellen
    1. den Schlüssel (.key-Datei) _darfst_ Du nicht aus der Hand geben - der _muss_ vertraulich bleiben
    2. daher wird hier eine Passphrase abgefragt, die den privaten Schlüssel schützt
    3. diese brauchst Du später jedes Mal, wenn Du diesen benutzen willst; also wähle eine schwer erratbare (z.B. per pwgen) und lege sie in Deinem Schlüsselspeicher (z.B. KeePass) ab
  2. CSR (Zertifizierungsanfrage) erstellen
  3. CSR an einen der beiden Vorstände schicken (Anm.: die Vertraulichkeit des CSR ist nicht schützbedürftig - die Mail braucht also nicht verschlüsselt zu sein; per GnuPG signieren ist allerdings eine gute Idee)
  4. Vorstand treffen; er prüft, ob Du Mitglied bist und ob der CSR zu Dir gehört, signiert den CSR anschliend und schickt Dir eine .crt-Datei zurück (Anm.: weder Vertraulichkeit noch Authentizität der .crt-Datei sind schützbedürftig)
  5. Zertifikat (.crt) und Schlüssel (.key) in eine Datei (PKCS12, .p12) zusammenfügen
  6. PKCS12-Datei in Browser importieren

Im Detail sieht das so aus

  • Schlüssel erstellen (hierbei wird eine Passphrase gesetzt, die Du später brauchst, wenn Du den Schlüssel benutzen willst - gut und sicher merken!):
openssl genrsa -aes256 -out hans@moser.de.key 4096
  • CSR erstellen:
openssl req -new -key hans\@moser.de.key -subj "/C=DE/ST=BW/L=Offenburg/CN=Hans Moser/emailAddress=hans@moser.de" -out hans\@moser.de.csr
  • CSR vom Vorstand signieren lassen:
    • schick die .csr-Datei an einen der beiden Vorstände
    • triff Dich mit einem der beiden Vorstände
    • ggf. signiert der Vorstand den CSR und schickt Dir der Zertifikat
  • PKCS12-Datei aus Zertfikat (.crt) und Schlüssel (.key) erzeugen:
openssl pkcs12 -export -clcerts -in hans\@moser.de.crt -inkey hans\@moser.de.key -out hans\@moser.de.p12