- Schlüssel erstellen
- den Schlüssel (.key-Datei) darfst Du nicht aus der Hand geben - der muss vertraulich bleiben
- als zusätzlicher Schutz wird eine Passphrase abgefragt, die den privaten Schlüssel schützt (konkret: durch Verschlüsselung)
- Zertifizierungsanfrage (.csr-Datei) erstellen
- Zertifizierungsanfrage an einen der beiden Vorstände schicken (Anm.: im Gegensatz zur Schlüssel-Datei (.key) ist die Vertraulichkeit des CSR nicht schützbedürftig - Du kannst die Datei also per unverschlüsselter Mail oder über den Chat-Server verschicken)
- der Vorstand prüft, ob Du Mitglied bist und ob die Zertifizierungsanfrage zu Dir gehört, signiert diese dann und schickt Dir ein Zertifikat (.crt-Datei) zurück (Anm.: auch beim Zertifikat ist die Vertraulichkeit nicht schützbedürftig; auch die kann also unverschlüsselt per Mail oder über den Chat-Server übertragen werden)
- jetzt musst Du noch das Zertifikat (.crt) und den Schlüssel (.key) in eine Datei (PKCS12, .p12) zusammenführen
- PKCS12-Datei in Browser importieren
Name: Max Mustermann
Mailadresse: Max.Mustermann@t-online.de
- Mit dem folgenden Kommando, welches Du auf der Kommandozeile eingibst, erstellst Du einen Schlüssel (.key); Obacht: „Max", "Mustermann" und "@t-online.de“ immer schön ersetzen; da steht dann nachher Dein/e Name/Mail-Adresse
openssl ecparam -genkey -name prime256v1 | openssl ec -aes256 -out Max.Mustermann\@t-online.de.key
--> jetzt hast Du die .key-Datei erstellt
- Zertifizierungsanfrage (.csr) erstellen. Obacht! keine Umlaute im Namen verwenden; sieht sonst hässlich aus... (und: das muss alles in einer Zeile stehen)
openssl req -new -sha256 -key Max.Mustermann\@t-online.de.key -subj "/C=DE/ST=BW/L=Offenburg/CN=Max.Mustermann/emailAddress=Max.Mustermann\@t-online.de" -out Max.Mustermann\@t-online.de.csr
--> jetzt hast Du mit dem Schlüssel (.key) eine Zertifizierungsanfrage (.csr) erstellt
- Zertifizierungsanfrage (.csr) an den Vorstand schicken
- der Vorstand prüft und signiert diese und schickt Dir ein Zertifikat (.crt) zurück
- aus dem Zertifkat (.crt) und dem Schlüssel (.key) erstellst Du nun ein Zertifikat im PKCS#12-Format (.p12), welches Du dann in den Browser importierst
openssl pkcs12 -export -out Max.Mustermann.p12 -inkey Max.Mustermann\@t-online.de.key -in Max.Mustermann\@t-online.de.crt