Das Anlegen einer RootCA bedarf einiger Vorbereitung im Vorfeld.
Öffnen Sie die Konfiguration über das PKIT Menu –> 90 –> 1



Definieren Sie folgende Parameter:
Parameter | Beispiel | Info |
BASEDN | C=DE/ST=Bavaria/L=Augsburg/O=PKITNEXT LABS/OU=PKI Management | Adressdaten Ihrer RootCA |
ROOTCN | PKITNEXT Root CA | Eindeutiger Name Ihrer RootCA |
BASEMAIL | ca@pkitnext.de | Kontaktadresse |
ROOTBITS | 4096 | Länge der Schlüssel (RSA) |
ROOTSHA | sha256 | Hash Algorithmus der CA |
CERTPOL | http://ca.pkitnext/policy/ | Link zur CA Policy |
CERTCEVPOL | http://ca.pkitnext/evpolicy/ | Link zur “Erweiterten Policy” |
ROOTCERTURI | http://ca.pkitnext/rootca.crt | Link zum Stammzertifikat der Zertifizierungstelle |
ROOTOCSPURI | http://ca.pkitnext/ocsp | Nur wenn ein OCSP Dienst vorhanden ist, sollte diese URI eingetragen sein |
ROOTCRLURI | http://ca.pkitnext/rootca.crl | Link zur “revocation-list” |
POLICYIDENTIFIER | 1.3.6.1.4.1.61092.1.2.2.1 | Beschreibt die “PEN” Sicherheitsstandard der Schlüsselgenerierung |
SERIALSTART | 6 | Anzahl der Bytes für Zufalls Serial-Start Nummer |
ChallPassWD | empty | |
CERTDAYS | 1500 | Gültigkeitsdauer der unterzeichneten Zertifikate. |
CERTSHA | sha256 | Hash Algorithmus für X509 Zertifikate |
CRLSHA | sha256 | Hash Algorithmus für Ablaufliste |
CRLDAYS | 185 | Gültigkeitsdauer der Ablaufliste nach Aktualisierung (Revocation) |
Speichern Sie die Konfiguration und erzeugen Sie damit eine “selfsinged CA”
Menu –> 2


Beantworten Sie diese Frage in Abhängigkeit Ihrer Sicherheitsrichtlinie:
YES bedeutet: der private Schlüssel der CA wird mit einer Passphrase geschützt. Wird diese vergessen, kann diese CA nicht benutzt werden.
NO bedeutet: der private Schlüssel der CA liegt in Klartextform als PEM File vor.
Wenn Sie das PKIT2 nur für Testzwecke einsetzen, empfehle ich NO.
Überprüfen Sie nun ihre CA mit
:showrootca


Sie befinden sich im less (anzeigen von Textdateien), und können diese Ansicht mit der Taste [q] wieder verlassen.