Inhaltsverzeichnis
Werbung
Time Range
Stellen Sie im Menü ganz rechts den Zahlenwert Tage, Monate oder Jahre ein. Welche Dauer ein-
zelne Zertifikate haben sollten, sehen Sie in der unten angegebenen Aufstellung:
• Personenzertifikate sollten 1 Jahr Gültigkeit haben.
• Server (SSL) Zertifikate ebenfalls 1 Jahr Gültigkeit.
• Router Zertifikate sollten 1 (wenn es fremde Router sind) oder 10 Jahre (wenn es
eigene Router sind) Gültigkeit haben.
• CA Zertifikate sollten auch eine lange Laufzeit haben (Bsp. >10 Jahre).
Bitte mit „Übernehmen" die Werte der Einstellmöglichkeiten bei Time Range übernehmen
Subject alternative name
Der alternative Name des Inhabers besteht aus einer Liste von alternativen Namen für den Inhaber des Zer-
tifikates, diese Namen können, RFC822-Namen (E-Mail), DNS-Namen, X.400 Adressen, EDI-Namen, URIs
oder IP-Adressen sein, im Grunde ist jedes strukturiertes Namenschema verwendbar. Bei PKIX muss diese
Erweiterung kritisch sein, wenn das Subject-Feld im Zertifikat leer ist.
Issuer alternative name
Für alternative Namen des Austellers gilt dasselbe wie für den alternativen Namen des Inhabers.
CRL distribution point
Um einen öffentlichen Zugangspunkt für Rückhollisten benutzen zu können, muss die LDAP-/ bzw. HTTP-
Adresse der Rückholliste Liste eingetragen werden. Es ist der Adresse immer ein URI (universal resource
indicator) (z.B. URI:http://de.wikipedia.de) voran zu setzen. Das Feldtrennzeichen ist ein Doppelpunkt. Falls
Sie lokale Rückhollisten besitzen, ist diese Option für Sie nicht von Bedeutung.
Authority Info Access
Diese PKIX Erweiterung definiert, wie weitere Information und Services der ausstellenden CA genutzt wer-
den können. Darin können weitere Informationen über die CA (weitere Richtlinien, Stammzertifikate,...) oder
Online Verifikation Services (z.B. OCSP) bereitgestellt werden. Vor allem wenn bei Zertifikatsanwendungen
wie Secure Mail (S/MIME) nicht der ganze Zertifizierungspfad mitgeschickt wird, ist es für die prüfende An-
wendung nett, wenn im Endzertifikat in dieser Erweiterung aufgeführt ist, wo das nächsthöhere CA-Zertifikat
abzurufen ist.
10.2.1.4
Stammzertifikat Key Usage
Unter dem Reiter „Key Usage" können Sie die Schlüsselauswahl und die erweiterte Schlüsselaus-
wahl treffen. Beide Schlüssel sollten nicht kritisch sein, d.h. Sie sollten keine Haken in die beiden
Checkboxen Critical setzen.
Wählen Sie bitte in der linken Spalte folgende Werte aus, wenn Sie ein Stammzellenzertifikat er-
stellen möchten:
•
Certificate Sign
•
CRL Sign
Mit diesen beiden Optionen kann mit ihrem Stammzellenzertifikat die Clientzertifikate und die
Rückhollisten unterschrieben werden.
MB Connect Line
Seite 81 von 199
Version: 1.8
Werbung
Inhaltsverzeichnis
