Arbeiten mit Zertifikaten
Zur Erstellung und Überprüfung von XML-Signaturen werden oft Autorisierungszertifikate verwendet. Dieser Abschnitt enthält Informationen zum Beschaffen, Importieren und Exportieren von Zertifikaten. Er ist in die folgenden Unterabschnitte gegliedert:
•Beschaffung eines Zertifikats mit einem Private-Public-Key-Paar
•Importieren eines Private-Public-Key-Zertifikats
•Die Zertifikatspeicher auf einem Windows-Rechner
•Exportieren eines Public-Key-Zertifikats
Beschaffung eines Zertifikats mit einem Private-Public-Key-Paar
Ein Zertifikat kann auf die folgenden Arten eingeholt werden:
•Von einer Zertifizierungsstelle. Die Zertifizierungsstelle überprüft die Identität des Zertifikatinhabers. Dies steht im Gegensatz zu selbstsignierten Zertifikaten, die von jeder Person im Besitz eines Zertifkaterstellungstools erzeugt werden können.
•Durch Erstellung eines selbstsignierten Zertifikats. Derartige Zertifikate werden nicht von einer Zertifizierungsstelle überprüft und bieten dennoch meist genug Schutz. Eine Reihe von Tools, wie z.B. Microsoft Visual Studio unterstützt die Erstellung von Zertifikaten.
Für die Verwendung mit XML-Signaturen benötigen Sie ein Zertifikat mit einem Private-Public-Key-Paar.
| Anmerkung: | Die XML-Signaturfunktion von XMLSpy unterstützt Zertifikate vom Typ RSA-SHA1, DSA-SHA1 und SHA-256 |
Importieren eines Private-Public-Key-Zertifikats
Nach Erhalt eines Private-Public-Key-Zertifikats müssen Sie es in Ihren Windows-Zertifikatspeicher importieren. Gehen Sie dabei folgendermaßen vor:
1.Doppelklicken Sie auf die Zertifikatdatei, um sie im Zertifikatimport-Assistenten zu öffnen (Abbildung unten) und klicken Sie auf Weiter.
2.Stellen Sie im Fenster "Importdatei" sicher, dass die Zertifikatdatei ausgewählt ist und klicken Sie auf Weiter.
3.Geben Sie das Passwort für den privaten Schlüssel ein. Sie müssen das Passwort kennen, wenn Sie vorhaben, den privaten Schlüssel zum Erstellen einer XML-Signatur zu verwenden. Sie erhalten das Passwort für den privaten Schlüssel bei Erhalt des Zertifikats. Klicken Sie nach Eingabe des Passworts auf Weiter.
4.Sie können den Assistenten den Speicher, in den das Zertifikat - nach Zertifikatstyp - platziert werden soll, automatisch auswählen lassen oder Sie können den Speicher selbst auswählen. (Es empfiehlt sich, den Speicher selbst auszuwählen, damit Sie wissen, wo das Zertifikat gespeichert ist.) Klicken Sie anschließend auf Weiter.
5.Klicken Sie auf Fertig stellen um den Vorgang abzuschließen.
Die Zertifikatspeicher auf einem Windows-Rechner
Der Zertifikatspeicher auf einem Windows XP-Betriebssystem kann folgendermaßen aufgerufen werden:
1.Klicken Sie im im Startmenü auf Ausführen.
2.Geben Sie mmc ein und klicken Sie auf OK. Daraufhin wird ein Konsolenfenster angezeigt (Abbildung unten).
3.Wählen Sie im Konsolenfenster den Befehl Datei | Snap-In hinzufügen/entfernen.
4.Klicken Sie im Abschnitt Eigenständig des Dialogfelds "Snap-In hinzufügen/entfernen" auf Hinzufügen.
5.Wählen Sie im Dialogfeld "Eigenständiges Snap-In hinzufügen" den Eintrag "Zertifikate" und klicken Sie auf Hinzufügen.
6.Schließen Sie das Dialogfeld "Eigenständiges Snap-In hinzufügen".
7.Klicken Sie im Dialogfeld "Snap-In hinzufügen/entfernen" auf OK.
8.Der Konstolenstamm im Fenster "Konsole" enthält nun einen Zertifikateintrag (siehe Abbildung oben). Dieser Zertifikateintrag enthält die Zertifikatspeicher auf Ihrem Rechner.
9.Speichern Sie die Konsole mit dem Befehl Datei | Speichern des Konsolenfensters als Microsoft Management Console-Datei (.msc-Datei). Später können Sie mit Hilfe dieser MSC-Datei (über den Befehl Datei | Öffnen eines Konsolenfensters) auf den Zertifikatspeicher auf Ihrem Rechner zugreifen.
Exportieren eines Public-Key-Zertifikats
Wenn Sie ein Zertifikat mit einem Private-Public-Key haben, sollten Sie dieses eventuell nur mit einem öffentlichen Schlüssel exportieren. Dieses Public-Key-Zertifikat kann anschließend an Empfänger gesendet werden, die damit Signaturen überprüfen können, die mit dem privaten Schlüssel des Zertifikats erstellt wurden.
Ein Public-Key-Zertifikat kann folgendermaßen aus einem vorhandenen Private-Public-Key-Zertifikat exportiert werden:
1.Öffnen Sie die Zertifikatspeicher in einem Konsolenfenster. Gehen Sie dazu folgendermaßen vor: (i) Geben Sie im Startmenü in die Befehlszeile von Ausführen mmc ein; (ii) wählen Sie im Fenster "Konsole", das daraufhin angezeigt wird, den Befehl Datei | Öffnen und wählen Sie die MSC-Datei aus, in der die Zertifikatspeicher gespeichert wurden (siehe Abschnitt unmittelbar oberhalb dieses Abschnitts).
2.Navigieren Sie zum Zertifikat, das Sie als Public-Key-Zertifikat exportieren möchten, und klicken Sie mit der rechten Maustaste darauf.
3.Wählen Sie im Kontextmenü, das daraufhin angezeigt wird, den Befehl Alle Aufgaben | Exportieren. Daraufhin wird der Zertifikatexport-Assistent angezeigt (Abbildung unten).
4.Klicken Sie auf Weiter.
5.Wählen Sie im Fenster "Privaten Schlüssel exportieren" die Option Nein, privaten Schlüssel nicht exportieren und klicken Sie auf Weiter.
6.Wählen Sie im Fenster "Format der zu exportierenden Datei" das gewünschte Format aus (belassen Sie das Standardformat DER, wenn Sie sich nicht sicher sind) und klicken Sie auf Weiter.
7.Navigieren Sie im Fenster "Zu exportierende Datei" zu dem Ordner, in dem die Datei gespeichert werden soll, und geben Sie einen Namen für die Datei an (ohne Angabe einer Dateierweiterung, da diese automatisch angehängt wird). Klicken Sie anschließend auf Weiter.
8.Klicken Sie auf Fertig stellen um den Export abzuschließen.
Unter dem angegebenen Pfad wird ein Public-Key-Zertifikat erstellt. Dieses Public-Key-Zertifikat kann nun an Empfänger der XML-Datei gesendet werden, die mit dem entsprechenden privaten Schlüssel signiert wurde. Der Empfänger kann diesen öffentlichen Schlüssel dann in einen Zertifikatspeicher auf seinem Rechner importieren und die XML-Datei anhand dieses öffentlichen Schlüssels überprüfen.