# Wie erstelle ich ein gültiges Zertifikat? (für Mozilla)



## tex (12. Aug 2006)

Hi,
ich habe ein kleines Problem.

Ich habe ein Programm geschrieben mit dem man verschiedene Cryptographie bezogene Aufgaben durchführen kann.
Unter anderen Ver- und Entschlüsseln, KeyPairs und Zertifikate erstellen und die Schlüssel/Zertifikate/KeyPairs Ex- und Importieren. Das ganze funktioniert eigentlich wunderbar, nur es gibt einen Haken: Ich kann keine PKCS#12-Dateien erstellen die vom Mozilla (z.B. Firefox) als gültig anerkannt werden.

Wenn ich mir ein KeyPair und ein CA-Zertifikat (selbst-signiert) erstelle, das Zertifikat des KeyPairs mit dem CA-Zertifikat signiere und dann das KeyPair als PKCS#12-Datei exportiere und im Firefox importiere sagt es mir "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden".

Das CA-Zertifikat habe ich natürlich vorher im Firefox imporiert.

Ich weiss jetzt auch nicht genau ob das Problem an meinem CA-Zertifikat oder der PCKS#12-Datei liegt. Ich vermute, dass irgendwas mit dem Usage-Extensions nicht stimmt, ich wüsste aber nicht was.

Ich wäre für jede Hilfe sehr Dankbar.


----------



## Bogomier (22. Aug 2006)

Hi,

ich kann Dir leider nicht weiterhelfen. Da ich aber momentan dabei bin ein Diplomarbeitsthema zu suchen und Du anscheinend schon Erfahrung damit gesammelt hast, würde mich interessieren, wie Du den Aufwand einschätzt in Java eine PKI zu realisieren.

Wie hast Du Dein Programm umgesetzt? Als webbasierte Anwendung mit Servlets? Lokal oder evtl. mit RMI?

Danke schonmal...


----------



## tex (22. Aug 2006)

Bogomier hat gesagt.:
			
		

> Hi,
> 
> ich kann Dir leider nicht weiterhelfen. Da ich aber momentan dabei bin ein Diplomarbeitsthema zu suchen und Du anscheinend schon Erfahrung damit gesammelt hast, würde mich interessieren, wie Du den Aufwand einschätzt in Java eine PKI zu realisieren.
> 
> ...


Aufwand: mind. 120 Mannstunden
Das Programm nutzt weder Servlets noch RMI, ich wüsste nicht wozu.

Es ist einfach eine lokale Java-Anwendung bestehend aus Benutzer-Teil (Verschlüsseln, etc.) und Administrator-Teil (Zertifikate ausstellen, signieren, etc. - in etwa das was du mit PKI meinst).


----------



## Gast (23. Aug 2006)

ich hab für meine firma einmal eine webapp geschrieben, die certs erstellen/exportieren konnte.

wenn ich dich jetzt richtig versteh dann suchst du sowas:
- also erst brauchst du ein security provider dort habe ich bouncycastle benutzt
- hiermit wird dann das cert erstellt: http://nopaste.lahost.de/code_8920756567.html
- und hiermit exportier ich es ins p12 format:
http://nopaste.lahost.de/code_1c8dd474da.html

die 2 lassen sich sicher einfach kombinieren.
hoffe das es das is was du suchst!


----------



## Bogomier (23. Aug 2006)

Vielen Dank euch beiden, 

so in etwa hatte ich mir das vorgestellt, ich war am überlegen ob ich das ganze als lokale Anwendung realisiere, aber eine Web-App scheint mir sinnvoller, wenn man es z.B. in einem Unternemhmen einsetzen wollte.

Das stimmt mich schonmal optimistisch, dass das ganze doch zu bewältigen ist.

Obwohl ja an einer PKI noch mehr dranhängt als die Certificate Authority. Das ist aber auf jeden Fall ein Anfang, ich muss es ja nicht komplett lösen, ein wesentlicher Teil der PKI als erweiterbare Anwendung ist ja auch was.


----------



## Bogomier (23. Aug 2006)

Ich hätte dann doch nochmal eine Frage an den Gast:

Wie hast Du das ganze realisiert, als Enterpriselösung,  mit EJB oder ohne? Bin nicht sicher wie ich es am geschicktesten anstelle. 

thx


----------

