GlobalSign Blog

11 Jan 2017

Was ist eine PKCS#12 Datei?

Und wie installiere ich eine PKCS#12 Datei auf meinem Webserver?

Eine PKCS#12 oder .pfx Datei ist eine Datei, die sowohl den privaten Schlüssel als auch das X.509 Zertifikat beinhaltet. Die Datei kann dann vom Kunden auf Servern wie IIS, Tomkat oder Exchange installiert werden. Die Erstellung von Certificate Signing Requests (CSR) ist nach wie vor eins der größten Probleme, wenn Kunden Ihre Server sichern wollen. PKCS#12 beseitigt dieses Problem – Kunden müssen keinen eigenen CSR erstellen. Stattdessen erstellt die Zertifizierungsstelle den CSR sicher im Namen des Kunden während des Bestellprozesses eines Zertifikats.

Der Weg von PKCS#12

Der Antrag und die Installation eines digitalen Zertifikats ist nicht ganz gleich mit einer PKCS#12 oder .pfx Datei. PKCS#12 Dateien können nur für Domain Validated SSL (DV) und Organization Validated SSL (OV) Zertifikate erstellt werden. Für Extended Validation SSL Zertifikate (EV) muss nach wie vor manuell ein Certificate Signing Request erstellt werden, da der Prüfprozess keinen automatischen CSR zulässt. Wenn das digitale Zertifikat und die privaten Schlüssel zum Document Signing Zertifikat oder Code Signing Zertifikat gesendet werden, sind diese standardmäßig in einer .pfx Datei (außer für Java) verpackt.

Sie müssen die folgenden Schritte vom Antrag bis zur Installation wissen.

Antrag

Während des Antrags werden Sie, anstatt nach einem eigenen generierten CSR, nach einem Passwort für Ihre PKCS#12 Datei gefragt. Das Passwort wird mit einem vom GlobalSign System generierten Passwort verknüpft, um ein langes und sicheres Passwort zu garantieren. Das Passwort wird zur Entschlüsselung und Installation der PKCS#12 benötigt, sobald diese erhalten wurde. Aus Sicherheitsgründen löschen wir alle PKCS#12 nach 30 Tagen aus unserem System. Sie werden auch nach den DN (Distinguished Name) Informationen befragt, die Sie brauchen um das Zertifikat auszustellen. Die DN Anforderungen sind je nach Zertifikatstyp:

Domain Validated SSL: der Common Name des Zertifikats (die Domain, auf der das Zertifikat genutzt werden soll) und das Land.

Organization Validated SSL: der Common Name des Zertifikats (die Domain, auf der das Zertifikat genutzt werden soll), Unternehmensname, Abteilung, Bundesland und Land.

Prüfvorgang

Der Prüfvorgang, auch Vetting genannt, ist identisch für alle Standardanwendungen und hängt vom Zertifikatstyp ab.

Domain Validated SSL: GlobalSign sendet eine Genehmigungs-E-Mail an den Besitzer des Domainnamens der im Antrag angegeben wurde. Der Domainbesitzer muss den Antrag genehmigen. Sie können auch DNS und Meta-Tag Domain Validation Methoden nutzen.

Organization Validated SSL: GlobalSign validiert das Unternehmen über Datenbanken von Drittanbietern und prüft, ob der Antragstellende das Recht hat die Domain im Antrag zu nutzen.

Bereitstellung des Zertifikats

Das ausgestellte Zertifikat wird in einer PKCS#12 Datei geliefert, die sowohl den privaten Schlüssel als auch das Zertifikat beinhaltet. An Partner werden die PKCS#12 über das GlobalSign Certificate Center (GCC) oder durch unsere API bereitgestellt. Endkunden können ihre PKCS#12 Datei dann anhand der Anleitung im GlobalSign Support Center installieren.

Wie Sie eine PKCS#12 oder .pfx Datei installieren

Die Anleitungen hängen von Ihrem System und Browser ab. Unterhalb finden Sie die jeweiligen Hilfestellungen:

GlobalSigns Installationsanleitungen

Auf unserer Support-Website finden Sie eine Anzahl an Installationsanleitungen, um Ihnen beim Download und der Installation Ihrer PKCS#12 Datei behilflich zu sein. Falls Sie Probleme haben, sprechen Sie gerne unser Support-Team an.

Ist eine PKCS#12 Datei sicher?

Oft erhalten wir Fragen zur Sicherheit, wenn wir einen CSR für unsere Kunden erstellen. Da wir den privaten Schlüssel selbst erstellen, müssen wir doppelt vorsichtig sein, um sicher zu gehen, dass er sicher ist. GlobalSign folgt deshalb strengen Prozessen und Richtlinien. Das Schlüsselpaar wird aus willkürlichen Zahlen erstellt, die von mehreren Faktoren abhängig sind. FIPS 140 Level 3 kryptografische Hardware wird zur Erstellung Ihres Schlüsselpaars und Certificate Requests genutzt. Um einen sicheren Transit der .pfx Datei zu ermöglichen nutzt GlobalSign ein sehr sicheres Passwort mit bis zu 50 Zeichen, und unser System fügt noch mal acht willkürliche Zeichen hinzu.

Es ist auch wichtig zu wissen, dass GlobalSign niemals private Schlüssel von Kunden auf eigenen Servern speichert. Sobald Ihr privater Schlüssel geschickt wurde haben nur Sie kompletten Zugang dazu.

Zusammenfassung

Eine PKCS#12 oder .pfx Datei ist ein einfacherer Weg digitale Zertifikate zu erstellen. Es kann Zeit sparen und Schwierigkeiten bei der Erstellung von eigenen CSRs beseitigen, falls Sie nicht ganz sicher sind, wie Sie dies tun müssen. Sie können zwar nicht für alle Arten von digitalen Zertifikaten .pfx Dateien erstellen lassen, aber es ist für eine Anzahl von Lösungen möglich.

Falls Sie ein digitales Zertifikat mit einer PKCS#12 Datei von GlobalSign kaufen möchten, dann kontaktieren Sie uns gerne oder kaufen Sie Ihr Zertifikat auf unserer Website.

Artikel teilen