Einsatzhinweis
Funktion: RSA-Schlüssel importieren
Benutzergruppe: FT-Verwalter
Funktionsbeschreibung
Mit dem Kommando ftimpk (import key) können Sie als FT-Verwalter den öffentlichen Schlüssel eines Partners oder ein RSA-Schlüsselpaar aus einer Datei importieren. Die Datei wird vom Erzeuger des Schlüssels/RSA-Schlüsselpaars zur Verfügung gestellt. Der Partnerschlüssel bzw. das RSA-Schlüsselpaar werden beim Importieren an der "richtigen" Stelle im openFT-Instanzenverzeichnis abgelegt und können danach für die Authentifizierung verwendet werden.
Öffentlichen Schlüssel eines Partnes importieren
Wenn Sie einen öffentlichen Schlüssel eines Partners importieren möchten, dann muss dieser Partner in der Partnerliste eingetragen sein. Der Schlüssel wird im Unterverzeichnis syskey mit der Partner-Identifikation als Dateiname abgelegt.
RSA-Schlüsselpaar importieren
Sie können ein RSA-Schlüsselpaar importieren, das aus einem öffentlichen und einem privaten Schlüssel besteht. Das Schlüsselpaar kann wie ein von openFT erzeugter Schlüssel für die Datenverschlüsselung und die Authentifizierung verwendet werden.
Das Schlüsselpaar kann mit einem externen Tool erzeugt worden sein. Die Schlüssel müssen die Länge 768, 1024, 2048, 3072 oder 4096 Bit besitzen. Die Schlüssel können im PEM-Format vorliegen (native PEM oder PKCS#8 Format ohne Passwort-Phrase oder nach v1 / v2 mit einer Passwort-Phrase) oder im Format PKCS#12 V1.0.
Verlangt das Schlüsselpaar eine Passwort-Phrase (Kennwort), dann muss diese beim Importieren angegeben werden.
Beim Importieren gilt dasselbe wie für Schlüsselpaare, die mit ftcrek erzeugt werden:
Das Schlüsselpaar erhält eine eindeutige Referenznummer.
Der öffentliche Schlüssel wird abgelegt unter dem Namen
syspkf.r<schlüsselreferenz>.l<schlüssellänge> im Verzeichnis config des Instanzdateibaums der openFT-Instanz.
Einzelheiten siehe Handbuch "openFT (Unix- und Windows-Systeme) - Installation und Betrieb".
Format
ftimpk -h |
[ -pr=<Dateiname 1..512> ]
[ -pu=<Dateiname 1..512>]
[ -p=<Kennwort 1..64> | -p= ]
[ -p12 ]
Beschreibung der Optionen
-h
gibt die Kommandosyntax am Bildschirm aus. Weitere Angaben nach -h werden ignoriert.
-pr=Dateiname
(private) gibt an, dass ein privater und ein öffentlicher Schlüssel importiert werden. Dateiname ist der absolute oder relative Pfadname der Datei, die die beiden Schlüssel enthält.
-pu=Dateiname
(public) gibt an, dass nur ein öffentlicher Schlüssel importiert wird. Dateiname ist der absolute oder relative Pfadname der Datei, die den Schlüssel enthält.
Sie müssen immer entweder -pr oder -pu angeben!
-p=Kennwort | -p=
gibt das Kennwort an, wenn der/die Schlüssel mit einem Kennwort geschützt ist/sind.
kein Kennwort angegeben
Wenn Sie -p= ohne Kennwort angeben, dann wird das Kennwort nach Abschicken des Kommandos am Bildschirm abgefragt. Ihre Eingabe bleibt unsichtbar, um zu verhindern, dass Unbefugte das Kennwort sehen.
-p nicht angegeben
Der/die Schlüssel ist/sind nicht durch ein Kennwort geschützt, Standard.
-p12
Die Schlüsseldatei enthält ein Zertifikat und einen privaten Schlüssel entsprechend dem Standard PKCS#12 V1.0. Die Datei wird nach einem privaten Schlüssel durchsucht, nicht unterstützte Bestandteile (z.B. Zertifikate, CRLs) werden beim Importieren ignoriert. Der erste private Schlüssel, der in der Datei gefunden wird, wird importiert, weitere werden ignoriert.
Ist das Zertifikat per Signatur oder Hash geschützt, dann führt openFT keine Gültigkeitsprüfung durch. Die Gültigkeit der Datei muss durch externe Mittel sichergestellt werden.
-p12 nicht angegeben
Der private Schlüssel liegt im PEM-Format vor, Standard.
Beispiele
Sie möchten den öffentlichen Schlüssel aus der Datei clientkey1 importieren (ohne Kennwort).
ftimpk -pu=clientkey1Sie möchten einen per Tool erzeugten RSA-Schlüssel im PEM-Format aus der Datei rsakeys20170303 importieren. Die Schlüssel sind mit einem Kennwort geschützt, das Sie unsichtbar am Bildschirm (dunkel) eingeben möchten.
ftimpk -pr=rsakeys20170303 -p=