Da alle im CA/Browser-Forum teilnehmenden Zertifizierer von Schlüsseln mit mindestens 2048 bit ausgehen, kann es notwendig sein den bisherigen keystore, der noch mit 1024 bit lief, neu erstellen zu müssen.
Am Beispiel adito/SSL-Zertifikate-Explorer soll das Vorgehen hiermit kurz beschrieben sein. Die Anleitung sollte prinzipiell für alle Java/Keytool basierten Server zutreffend sein.
Neuen Keystore und Private Key erstellen mit 2048 bit
• cd adito-svncertificate
• sudo keytool -genkey -alias agent -keystore agent-keystore.p12 -keypass PASSWORT -storetype PKCS12 -dname "cn=www.ihredomain.de" -storepass PASSWORT -validity 730
• sudo vi certificate.properties (Namen usw. abgleichen/eintragen)
• sudo openssl req -nodes -newkey rsa:2048 -keyout www.ihredomain.de.key -out www.ihredomain.de.csr (CSR erstellen)
Mit diesen CSR (Certificate Signing Request) können Sie ein neues Zertifikat beantragen
Sollten Sie das Zertifikat von PEM nach PKCS12 konvertieren müssen, hilft folgender Aufruf:
openssl pkcs12 -export -out certificate.pfx -inkey www.ihredomain.de.key -in certificate.crt -certfile CACert.crt
Um das konvertierte Zertifikat in adito/SSL Explorer zu importieren
• Im adito Verzeichnis
• ant install
• Import cert/keystore mit PKCS12 File auswählen (ohne alias!)
• Install beenden und abschließen
• ant install-agent
• adito Dienst neu starten