Privater Schlüssel

Alle Aktualisierungen Allgemein Änderungen Bereich Validierung Business-Validierung Code-Signierung CPAC CSR-Code CSR-Generator DigiCert Einrichtung Erneuerung Erweiterte Validierung Konfiguration Mehrere Bereiche Platzhalter Privater Schlüssel S/MIME SSL-Zertifikate installieren Tutorials zur CSR-Generierung Typen Zertifizierungsstellen
Wo kann ich meinen privaten Schlüssel finden?

Dies ist eine der häufigsten Fragen, die wir erhalten. Leider können wir Ihnen den privaten Schlüssel nicht zusenden, da er privat ist und wir ihn nirgendwo in unserem System oder unserer Datenbank speichern. Der private Schlüssel ist immer vertraulich, und nur Sie sollten ihn besitzen. Wenn wir Ihren privaten Schlüssel haben oder speichern würden, würde dies die “Sicherheit” Ihres SSL-Zertifikats gefährden.

Wenn Sie den CSR-Generator auf unserer Website verwendet haben, um Ihren CSR-Code zu generieren, wurden Ihnen sowohl der CSR als auch der private Schlüssel während des CSR-Generierungsprozesses angezeigt. Sie wurden auch an Ihre E-Mail-Adresse geschickt, falls Sie Ihre E-Mail-Adresse in den CSR-Generator eingegeben haben. Die Nachricht, die an Ihre E-Mail-Adresse gesendet wurde, stammt von [email protected] und hat den folgenden Betreff: “Ihr CSR-Code und Ihr privater Schlüssel”.

Wenn Sie Ihre CSR auf Ihrem Server generiert haben, wurden Ihnen sowohl Ihr CSR-Code als auch Ihr privater Schlüssel von Ihrem Server zur Verfügung gestellt. Sie mussten sie kopieren und an einem sicheren Ort aufbewahren. In einigen Fällen zeigen manche Server den CSR-Code und den privaten Schlüssel an und speichern beide Codes gleichzeitig auf dem Server. In anderen Fällen stellt Ihnen der Server nur den CSR-Code zur Verfügung und hält den privaten Schlüssel auf dem Server verborgen.

WiederausstellungszertifikatIn diesem Fall suchen Sie bitte den privaten Schlüssel in Ihrer E-Mail-Adresse oder auf Ihrem Server. Wenn Sie ihn nicht finden können, müssen Sie einen neuen CSR-Code auf Ihrem Server oder über den CSR-Generator auf unserer Website generieren. Der CSR-Code wird mit einem privaten Schlüssel geliefert.

Sobald ein neuer CSR-Code (und ein neuer privater Schlüssel) generiert wurden, müssen Sie die Seite mit den SSL-Zertifikatsdetails in Ihrem SSL Dragon-Konto aufrufen und in der linken Seitenleiste der Seite auf die Schaltfläche “Zertifikat neu ausstellen” klicken. Sie müssen die Domainvalidierung erneut durchlaufen, und danach wird Ihnen das SSL-Zertifikat auf der Grundlage des neuen CSR-Codes, den Sie eingegeben haben, neu ausgestellt. Außerdem wird das neu ausgestellte SSL-Zertifikat mit dem privaten Schlüssel gekoppelt, der zusammen mit dem neuen CSR-Code geliefert wurde.

Wenn Sie die Datei nicht finden können “Zertifikat neu ausstellen” auf der SSL-Zertifikatsdetailseite in Ihrem SSL Dragon-Konto, dann senden Sie uns bitte den neuen CSR-Code über ein Support-Ticket in Ihrem SSL Dragon-Konto oder direkt unter [email protected] und wir werden das SSL-Zertifikat unter Verwendung des neuen CSR-Codes für Sie neu generieren. Bitte senden Sie uns Ihren privaten Schlüssel nicht zu, da er vertraulich ist. Bewahren Sie es an einem sicheren Ort in Ihrer E-Mail oder auf Ihrem Computer auf, da Sie es bei der Installation Ihres SSL-Zertifikats benötigen.

Link kopieren

Wie kann die Integrität des privaten Schlüsselpaars überprüft werden?

Sie können die Integrität eines SSL-Zertifikats und eines Paars privater Schlüssel mit dem
OpenSSL-Dienstprogramm
 und seinen Befehlszeilen überprüfen.

Das Verfahren besteht aus vier Schritten:

  1. Vergewissern Sie sich, dass der private Schlüssel nicht verändert worden ist.
  2. Überprüfen Sie den Moduluswert, der mit dem privaten Schlüssel und dem SSL-Zertifikatspaar übereinstimmt.
  3. Erfolgreiche Verschlüsselung mit dem öffentlichen Schlüssel aus dem Zertifikat und Entschlüsselung mit dem privaten Schlüssel
  4. Bestätigen Sie die Integrität der Datei, die mit dem privaten Schlüssel signiert ist

Überprüfen der Integrität des privaten Schlüssels

Führen Sie den folgenden Befehl aus: openssl rsa -in [key-file .key] -check -noout

Hier ist ein Beispiel für einen beschädigten privaten Schlüssel:

Fehler beim privaten Schlüssel

Andere Fehler, die auf einen geänderten/gefälschten Schlüssel zurückzuführen sind, werden im Folgenden aufgeführt:

  • RSA-Schlüsselfehler: p nicht prim
  • RSA-Schlüsselfehler: n ist ungleich p q
  • RSA-Schlüsselfehler: d e nicht kongruent zu 1
  • RSA-Schlüsselfehler: dmp1 nicht kongruent zu d
  • RSA-Schlüsselfehler: iqmp nicht invers zu q

Wenn einer der oben genannten Fehler auftritt, wurde Ihr privater Schlüssel manipuliert und funktioniert möglicherweise nicht mit Ihrem öffentlichen Schlüssel. Erwägen Sie, einen neuen privaten Schlüssel zu erstellen und ein Ersatzzertifikat anzufordern.

Hier ist ein Beispiel für einen privaten Schlüssel, der die Integrität erfüllt:

rsa-Schlüssel ok

Überprüfen Sie den Moduluswert, der mit dem privaten Schlüssel und dem SSL-Zertifikatspaar übereinstimmt.


Anmerkung:

Der Modulus des privaten Schlüssels und des Zertifikats müssen genau übereinstimmen.

Um das Zertifikat Modulus anzuzeigen, führen Sie den Befehl aus:

openssl x509 -noout -modulus -in [certificate-file .cer]

Um den privaten Schlüssel Modulus anzuzeigen, führen Sie den Befehl aus:

openssl rsa -noout -modulus -in [key-file .key]

Verschlüsseln mit dem öffentlichen Schlüssel von und Entschlüsseln mit dem privaten Schlüssel

1. Holen Sie den öffentlichen Schlüssel aus dem Zertifikat:

openssl x509 -in [certificate-file .cer] -noout -pubkey > certificatefile.pub.cer

2. Verschlüsseln Sie den Inhalt der Datei test.txt mit dem öffentlichen Schlüssel

Erstellen Sie eine neue Datei namens test.txt (Sie können Notepad verwenden) mit dem Inhalt “message test”. Führen Sie den folgenden Befehl aus, um eine verschlüsselte Nachricht in der Datei cipher.txt zu erstellen.

openssl rsautl -encrypt -in test.txt -pubin -inkey certificatefile.pub.cer -out cipher.txt

3. Entschlüsseln von cipher.txt mit dem privaten Schlüssel
Führen Sie den folgenden Befehl aus, um den Inhalt von cipher.txt zu entschlüsseln.

openssl rsautl -decrypt -in cipher.txt -inkey [key-file .key]

Stellen Sie sicher, dass Sie den Inhalt der Datei cipher.txt auf Ihrem Terminal entschlüsseln können. Die Ausgabe auf dem Terminal muss mit dem Inhalt der Datei test.txt übereinstimmen.

Wenn der Inhalt nicht übereinstimmt, wurde der private Schlüssel manipuliert und funktioniert möglicherweise nicht mit Ihrem öffentlichen Schlüssel. Erwägen Sie, einen neuen privaten Schlüssel zu erstellen und ein Ersatzzertifikat anzufordern. Hier ist ein Beispiel für eine entschlüsselte Nachricht:

Nachrichtentest

4. Bestätigen Sie die Integrität der mit dem privaten Schlüssel signierten Datei

Führen Sie den folgenden Befehl aus, um die Dateien test.sig und test.txt mit Ihrem privaten Schlüssel zu signieren:

openssl dgst -sha256 -sign [key-file .key] -out test.sig test.txt

Überprüfen Sie nun die signierten Dateien mit Ihrem in Schritt 1 extrahierten öffentlichen Schlüssel.

openssl dgst -sha256 -verify zertifikatsdatei.pub.cer -signatur test.sig test.txt

Vergewissern Sie sich, dass die Ausgabe auf dem Terminal genau wie im folgenden Beispiel aussieht:

geprüft ok
Wenn Ihr privater Schlüssel manipuliert wird, erhalten Sie die folgende Meldung:

Verifikationsfehler
In diesem Fall sollten Sie einen neuen privaten Schlüssel erstellen und ein Ersatzzertifikat anfordern.

Quelle: Digicert’s Wissensdatenbank

Link kopieren

Warum erhalte ich eine Fehlermeldung, dass das Zertifikat oder der private Schlüssel nicht übereinstimmt?

Manchmal stimmt das SSL-Zertifikat, das Ihnen ausgestellt wurde, nicht mit dem privaten Schlüssel überein, den Sie bei der Installation des SSL-Zertifikats auf Ihrem Server zu verwenden versuchen. Dies ist ein häufiger Fehler, der von Benutzern verursacht wird.

Wenn das System eine Nichtübereinstimmung meldet, müssen Sie die CSR und den privaten Schlüssel, die Sie erzeugt haben und die zusammen gekommen sind, noch einmal überprüfen. Sie müssen sicherstellen, dass Sie diese spezielle CSR bei der Konfiguration Ihres SSL-Zertifikats verwendet haben. Wenn das SSL-Zertifikat ausgestellt wird, müssen Sie den privaten Schlüssel verwenden, der mit dieser speziellen CSR gepaart ist.

Wir beobachten, dass Kunden den Fehler machen, eine CSR und einen privaten Schlüssel zu generieren und dann das SSL-Zertifikat mit einer anderen CSR zu konfigurieren, die vom Server generiert wurde. In diesem Fall erzeugt der Server CSR-Paare mit seinem eigenen privaten Schlüssel, den Sie höchstwahrscheinlich nicht haben.

Der private Schlüssel, den Sie haben, funktioniert nur mit der CSR, mit der er geliefert wurde. Außerdem funktioniert der private Schlüssel, den Sie haben, nur mit dem SSL-Zertifikat, das mit der CSR konfiguriert wurde, die sich mit diesem privaten Schlüssel paart.

Lösung

Um dieses Problem zu lösen, müssen Sie Ihr SSL-Zertifikat neu konfigurieren (neu ausstellen), indem Sie einen CSR-Code verwenden, für den Sie den privaten Schlüssel haben, mit dem er gekoppelt ist. Sie können einen CSR-Code verwenden, den Ihr Server bereitstellt, oder eine neue CSR und einen neuen privaten Schlüssel erstellen.

Link kopieren

Wie finde ich den privaten Schlüssel für mein Code Signing-Zertifikat?

Ab dem 1. Juni 2023 schreiben die Industriestandards die Speicherung von privaten Schlüsseln für Code Signing-Zertifikate auf FIPS 140 Level 2, Common Criteria EAL 4+ zertifizierter Hardware vor. Diese Änderung erhöht die Sicherheit und entspricht den EV Code Signing Standards. Zertifizierungsstellen können keine browserbasierte Schlüsselgenerierung oder Laptop/Server-Installationen mehr unterstützen. Private Schlüssel müssen auf FIPS 140-2 Level 2 oder Common Criteria EAL 4+ zertifizierten Token/HSMs sein. Um den Code zu signieren, greifen Sie auf das Token/HSM zu und verwenden Sie die gespeicherten Zertifikatsnachweise.

In Übereinstimmung mit den neuen Richtlinien sollte sich Ihr privater Schlüssel auf dem von der Zertifizierungsstelle gelieferten Token oder auf Ihrem Hardware-Sicherheitsmodul befinden.

Link kopieren