Ich verwende selbstsignierte Zertifikate, für die eigene Verwendung und Verschlüsselung von Daten.
CPS - Certificate Practise Statement:
- Ich bin der Einzige, der den PrivateKey hat.
- Ich veröffentliche meine Technik und mein Verfahren mit dem ich den Schlüssel erstellt habe und schütze.
- Ich habe eine Zertifizierungskette über die Powershell v5 aufgebaut. Eine Selfsigned RootCA, aus der nur ein einziges Zertifikat für eine IssiungCA erzeugt wurde. Aus dieser wurde das persönliche Zertifikat für meinen Benutzer erstellt
Sollte es die Technik erfordern (Sicherheitsbedenken, neue Technologien, Fehler in Software etc.) wird ein komplett neues Zertifikat oder sogar die Kett neu generiert. Das Ungültige wird hier veröffentlicht und abgelöst. - Sowohl das Root Zertifikat (gruppenrichtlinien.de - RootCA) als auch das Intermediate Zertifikat (gruppenrichtlinien.de - IssuingCA), sowie das personliche Zertifikat sind mit SHA-512 erstellt und haben eine Schlüssellänge von jeweils 4096 Bit.
- Die Zertifikate sind in meinem Computern Zertifikatsspeicher (Root/Issuing) und im Benutzer Zertifikatsstore gespeichert (persönliches Zertifikat). Ein Backup der privaten Schlüssel liegt auf der Festplatte.
- Die Festplatte ist mit Bitlocker (XTS-AES-128) verschlüsselt. Bitlocker verwendet TPM und eine erweiterte Start PIN schützt den generellen Start des System. Die Anmeldung des Benutzers an das System ist mit einer Kennphrase >25 Zeichen geschützt. Es gibt nur ein aktiviertes Benutzerkonto.
- Ein Kennwort geschützter Export des Zertifikats ist auf einem mit Bitlocker ToGo verschlüsseltem USB Stick gespeichert, der ebenfalls mit einer starken Kennphrase > 25 Zeichen geschützt ist.
- Ich publiziere dieses CPS auf der Webseite, damit andere mein Verfahren bewerten und für sich selber einschätzen können, ob sie meinen Schüssel als vertrauenswürdig einstufen. Eine Verschlüsselung von E-Mails an mich ist ohne das Vertrauen möglich.
Werkzeug:
Ich verwende die Powershell v5, wie in diesem Artikel beschrieben.
Selfsigned Certificate - Selbsterstellte PKI - Powershell v5
Ich habe eine PEN -Private Enterprise Number - bei der IANA:
Prefix: iso.org.dod.internet.private.enterprise (1.3.6.1.4.1)
- 40369
- - gruppenrichtlinien.de
- - - Mark Heitbrink
- - - - mark -gruppenrichtlinien.de
Antrag: http://pen.iana.org/pen/PenApplication.page
Veröffentlicht: http://www.iana.org/assignments/enterprise-numbers/enterprise-numbers
Verwendungszwecke meines Zertifikats:
- Code Signing (1.3.6.1.5.5.7.3.3)
- Secure Email (1.3.6.1.5.5.7.3.4)
- Client Authentication (1.3.6.1.5.5.7.3.2)
- Encrypting File System (1.3.6.1.4.1.311.10.3.4)
Nach Erstellung des Zertifikats:
Export des Öffentlichen Schlüssels. Aufnahme des Public Key in die Vertrauenswürdigen Stammzertifizierungsstellen des eigenen System und Veröffentlichung auf dieser Seite.
Meine öffentlichen Schlüssel:
Veraltete Schlüssel: