Das Anlegen einer RootCA bedarf einiger Vorbereitung im Vorfeld.

Öffnen Sie die Konfiguration über das PKIT Menu –> 90 –> 1

Definieren Sie folgende Parameter:

ParameterBeispielInfo
BASEDNC=DE/ST=Bavaria/L=Augsburg/O=PKITNEXT LABS/OU=PKI ManagementAdressdaten Ihrer RootCA
ROOTCNPKITNEXT Root CAEindeutiger Name Ihrer RootCA
BASEMAILca@pkitnext.deKontaktadresse
ROOTBITS4096Länge der Schlüssel (RSA)
ROOTSHAsha256Hash Algorithmus der CA
CERTPOLhttp://ca.pkitnext/policy/Link zur CA Policy
CERTCEVPOLhttp://ca.pkitnext/evpolicy/Link zur “Erweiterten Policy”
ROOTCERTURIhttp://ca.pkitnext/rootca.crtLink zum Stammzertifikat der Zertifizierungstelle
ROOTOCSPURIhttp://ca.pkitnext/ocspNur wenn ein OCSP Dienst vorhanden ist, sollte diese URI eingetragen sein
ROOTCRLURIhttp://ca.pkitnext/rootca.crlLink zur “revocation-list”
POLICYIDENTIFIER1.3.6.1.4.1.61092.1.2.2.1Beschreibt die “PEN” Sicherheitsstandard der Schlüsselgenerierung
SERIALSTART6Anzahl der Bytes für Zufalls Serial-Start Nummer
ChallPassWD empty 
CERTDAYS1500Gültigkeitsdauer der unterzeichneten Zertifikate.
CERTSHAsha256Hash Algorithmus für X509 Zertifikate
CRLSHAsha256Hash Algorithmus für Ablaufliste
CRLDAYS185Gültigkeitsdauer der Ablaufliste nach Aktualisierung (Revocation)
   
X509 Parameter CA

Speichern Sie die Konfiguration und erzeugen Sie damit eine “selfsinged CA”

Menu –> 2

Beantworten Sie diese Frage in Abhängigkeit Ihrer Sicherheitsrichtlinie:
YES bedeutet: der private Schlüssel der CA wird mit einer Passphrase geschützt. Wird diese vergessen, kann diese CA nicht benutzt werden.
NO bedeutet: der private Schlüssel der CA liegt in Klartextform als PEM File vor.
Wenn Sie das PKIT2 nur für Testzwecke einsetzen, empfehle ich NO.

Überprüfen Sie nun ihre CA mit

:showrootca

Sie befinden sich im less (anzeigen von Textdateien), und können diese Ansicht mit der Taste [q] wieder verlassen.