H7.1. Dienstprogramm zum Generieren von digitalen Schlüsseln und Zertifikaten

Folgende Konsolenversionen des Dienstprogramms zum Generieren digitaler Schlüssel und Zertifikate sind verfügbar:

Ausführbare Datei

Speicherort

Erläuterung

drweb-sign-<OS>-<Bitanzahl>

Verwaltungscenter Administration → Dienstprogramme

Autonome Version des Dienstprogramms. Diese Version kann von einem beliebigen Verzeichnis aus auf einem beliebigen Rechner, auf dem ein entsprechendes Betriebssystem installiert ist, gestartet werden.

Server-Verzeichnis webmin/utilities

drwsign

Server-Verzeichnis bin

Die jeweilige Version des Dienstprogramms hängt von den vorhandenen Serverbibliotheken ab. Sie kann nur aus dem Verzeichnis, in dem sie liegt, gestartet werden.

Die Versionen des Dienstprogramms drweb-sign-<OS>-<Bitanzahl> und drwsign haben die gleichen Funktionalitäten. Nachfolgend wird die Version drwsign erläutert, obwohl die aufgeführten Beispiele für die beiden Versionen gültig sind.

Format des Startbefehls

drwsign check [-public-key=<öffentlicher_Schlüssel>] <Datei>

Dieser Befehl überprüft die Signatur der angegebenen Datei mithilfe des öffentlichen Schlüssels des Subjekts, das die Datei signiert hat.

Schalterparameter

Standardwert

<öffentlicher_Schlüssel>

drwcsd.pub

drwsign extract [-private-key=<privater_Schlüssel>] [-cert=<Serverzertifikat>] <öffentlicher_Schlüssel>

Dieser Befehl extrahiert aus der Datei des privaten Schlüssels oder der Zertifikatdatei den öffentlichen Schlüssel und schreibt den öffentlichen Schlüssel in die angegebene Datei.

Die Schlüssel -private-key und -cert schließen sich gegenseitig aus, da nur einer von ihnen angegeben werden kann. Wenn die beiden Schlüssel gleichzeitig angegeben wurden, gibt der Befehl einen Fehler aus.

Die Schalterparameter müssen unbedingt angegeben sein.

Wenn keiner der Schalter angegeben ist, wird -private-key=drwcsd.pri zum Extrahieren des öffentlichen Schlüssels aus dem privaten Schlüssel drwcsd.pri verwendet.

Schalterparameter

Standardwert

<privater_Schlüssel>

drwcsd.pri

drwsign genkey [<privater_Schlüssel> [<öffentlicher_Schlüssel>]]

Dieser Befehl generiert ein Schlüsselpaar (öffentlich/privat) und schreibt die beiden Schlüssel in die entsprechenden Dateien.

Schalterparameter

Standardwert

<privater_Schlüssel>

drwcsd.pri

<öffentlicher_Schlüssel>

drwcsd.pub

Das Dienstprogramm für Windows (im Unterschied zur UNIX-Version) kann den privaten Schlüssel nicht vor unbefugtem Kopieren schützen.

drwsign gencert [-private-key=<privater_Schlüssel>] [-subj=<Subjektfelder>] [-days=<Gültigkeitsdauer>] [<selbstsigniertes_Zertifikat>]

Dieser Befehl generiert ein selbstsigniertes Zertifikat mithilfe des privaten Schlüssels des Servers und schreibt es in die entsprechende Datei.

Schalterparameter

Standardwert

<privater_Schlüssel>

drwcsd.pri

<Subjektfelder>

/CN=<Hostname>

<Gültigkeitsdauer>

3560

<selbstsigniertes_Zertifikat>

drwcsd-certificate.pem

drwsign gencsr [-private-key=<privater_Schlüssel>] [-subj=<Subjektfelder>] [<Anforderung_zum_Signieren_des_Zertifikats>]

Dieser Befehl generiert eine Anforderung zum Signieren des Zertifikats mithilfe des privaten Schlüssels und schreibt sie in die entsprechende Datei.

Dieser Befehl kann zum Signieren des Zertifikats eines anderen Servers verwendet werden, beispielsweise zum Signieren des Zertifikats des Dr.Web Proxyservers mithilfe des Schlüssels des Dr.Web Servers.

Mit dem Schalter signcsr lassen Sie Ihre Anforderung signieren.

Schalterparameter

Standardwert

<privater_Schlüssel>

drwcsd.pri

<Subjektfelder>

/CN=<Hostname>

<Anforderung_zum_Signieren_des_Zertifikats>

drwcsd-certificate-sign-request.pem

drwsign genselfsign [-show] [-subj=<Subjektfelder>] [-days=<Gültigkeitsdauer>] [<privater_Schlüssel> [<selbstsigniertes_Zertifikat>]]

Dieser Befehl generiert ein selbstsigniertes RSA-Zertifikat und einen privaten RSA-Schlüssel für den Webserver und schreibt sie in die entsprechenden Dateien.

Mit dem Schalter -show geben Sie den Zertifikatinhalt in einer lesbaren Form aus.

Schalterparameter

Standardwert

<Subjektfelder>

/CN=<Hostname>

<Gültigkeitsdauer>

3560

<privater_Schlüssel>

private-key.pem

<selbstsigniertes_Zertifikat>

certificate.pem

drwsign hash-check [-public-key=<öffentlicher_Schlüssel>] <Hash-Datei> <Signaturdatei>

Dieser Befehl überprüft die Signatur der angegebenen 256-Bit-Zahl im Format des Client-Server-Protokolls.

Im Parameter <Hash-Datei> muss die Datei mit einer 256-Bit-Zahl angegeben werden, die signiert werden soll. Die Datei <Signaturdatei> ist das Ergebnis des Signierens (zwei 256-Bit-Zahlen).

Schalterparameter

Standardwert

<öffentlicher_Schlüssel>

drwcsd.pub

drwsign hash-sign [-private-key=<privater_Schlüssel>] <Hash-Datei> <Signaturdatei>

Dieser Befehl signiert die angegebene 256-Bit-Zahl im Format des Client-Server-Protokolls.

Im Parameter <Hash-Datei> muss die Datei mit einer 256-Bit-Zahl angegeben werden, die signiert werden soll. Die Datei <Signaturdatei> ist das Ergebnis des Signierens (zwei 256-Bit-Zahlen).

Schalterparameter

Standardwert

<privater_Schlüssel>

drwcsd.pri

drwsign help [<Befehl>]

Dieser Befehl liefert in der Befehlszeile kurze Hilfe zum Programm oder einem Befehl.

drwsign sign [-private-key=<privater_Schlüssel>] <Datei>

Dieser Befehl signiert die in <Datei> angegebene Datei mithilfe des privaten Schlüssels.

Schalterparameter

Standardwert

<privater_Schlüssel>

drwcsd.pri

drwsign signcert [-ca-key=<privater_Schlüssel>] [-ca-cert=<Serverzertifikat>] [-cert=<zu_signierendes_Zertifikat>] [-days=<Gültigkeitsdauer>] [<signiertes_Zertifikat>]

Dieser Befehl signiert das vorhandene <zu_signierendes_Zertifikat> mithilfe des privaten Schlüssels und des Serverzertifikats. Das signierte Zertifikat wird in einer separaten Datei gespeichert.

Der Befehl kann zum Signieren des Zertifikats des Dr.Web Proxyservers mithilfe des Schlüssels des Dr.Web Servers verwendet werden.

Schalterparameter

Standardwert

<privater_Schlüssel>

drwcsd.pri

<Serverzertifikat>

drwcsd-ca-cerificate.pem

<zu_signierendes_Zertifikat>

drwcsd-certificate.pem

<Gültigkeitsdauer>

3560

<signiertes_Zertifikat>

drwcsd-signed-certificate.pem

drwsign signcsr [-ca-key=<privater_Schlüssel>] [-ca-cert=<Serverzertifikat>] [-csr=<Anforderung_zum_Signieren_des_Zertifikats>] [-days=<Gültigkeitsdauer>] [<signiertes_Zertifikat>]

Dieser Befehl signiert mithilfe des privaten Schlüssels und des Serverzertifikats eine <Anforderung_zum_Signieren_des_Zertifikats>, die über den Befehl gencsr erzeugt wurde. Das signierte Zertifikat wird in einer separaten Datei gespeichert.

Dieser Befehl kann zum Signieren des Zertifikats eines anderen Servers verwendet werden, beispielsweise zum Signieren des Zertifikats des Dr.Web Proxyservers mithilfe des Schlüssels des Dr.Web Servers.

Schalterparameter

Standardwert

<privater_Schlüssel>

drwcsd.pri

<Serverzertifikat>

drwcsd-cerificate.pem

<Anforderung_zum_Signieren_des_Zertifikats>

drwcsd-certificate-sign-request.pem

<Gültigkeitsdauer>

3560

<signiertes_Zertifikat>

drwcsd-signed-certificate.pem

drwsign tlsticketkey [<TLS-Sitzungsticket>]

Dieser Befehl generiert TLS-Sitzungstickets.

Der Befehl kann für gemeinsame TLS-Sitzungen in einem Server-Cluster verwendet werden.

Schalterparameter

Standardwert

<TLS-Sitzungsticket>

tickets-key.bin

drwsign verify [-ss-cert] [-CAfile=<Serverzertifikat>] [<zu_prüfendes_Zertifikat>]

Dieser Befehl validiert ein Zertifikat gegen ein vertrauenswürdiges Zertifikat des Servers.

Der Schalter -ss-cert bewirkt, dass das vertrauenswürdige Zertifikat ignoriert wird und nur das selbstsigniertes Zertifikat validiert wird.

Schalterparameter

Standardwert

<Serverzertifikat>

drwcsd-certificate.pem

<zu_prüfendes_Zertifikat>

drwcsd-signed-certificate.pem

drwsign x509dump [<zu_druckendes_Zertifikat>]

Der Befehl druckt den Dump eines beliebigen x509-Zertifikats.

Schalterparameter

Standardwert

<zu_druckendes_Zertifikat>

drwcsd-certificate.pem