Neues Zertifikat für alte Schlüssel

Normalerweise erzeugen Sie jedesmal, wenn Sie ein neues Zertifikat beantragen, auch ein neues Schlüsselpaar.

In besonderen Situationen kann es vorkommen, dass Sie für ein vorhandenes Schlüsselpaar ein neues Zertifikat erhalten. Dann kann es schwierig werden, das Zertifikat zu ersetzen, ohne den privaten Schlüssel zu verlieren, da diese Situation von der meisten Software nicht unterstützt wird.

Dann sollten Sie so vorgehen:

  1. Exportieren Sie Ihre digitale ID aus Ihren Programmen in eine PKCS#12-Datei.

  2. Extrahieren Sie Ihren privaten Schlüssel aus der PKCS#12-Datei.

  3. Bauen Sie aus dem privaten Schlüssel und den neuen Zertifikaten eine neue PKCS#12-Datei zusammen.

  4. Importieren Sie die neu zusammengebaute PKCS#12-Datei in Ihre Programme

Alle unten genannten Dateinamen sind natürlich Beispiele – Sie können die Dateinamen frei wählen.

1. Digitale ID exportieren

Diesen Schritt sollten Sie bereits beim Abholen Ihres Zertifikats gemacht haben; Sie können ihn aber jederzeit wiederholen.

Beachten Sie jeweils den letzten Teil der Anleitungen unter Antrag und Abholen.

2. Privaten Schlüssel extrahieren

Hierzu müssen Sie in der Eingabeaufforderung die OpenSSL-Software verwenden. Auf Linux- und Macintosh-Rechnern sollte diese Software immer installiert sein. Besitzer von Windows-Rechnern können die Software von www.openssl.org herunterladen und installieren.

Wenn die PKCS#12-Datei digital-id.p12 heißt, können Sie mit dem folgenden Befehl (alles in einer Zeile eintippen) Ihren privaten Schlüssel in eine Datei private-key.pem schreiben:

openssl pkcs12
  -in digital-id.p12
  -out private-key.pem
  -nocerts

Sie werden dabei mehrfach nach Passwörtern gefragt, da der private Schlüssel erst aus- und dann wieder eingepackt wird. Sie können aber gerne für beide Dateien das gleiche Passwort verwenden.

3. Neue PKCS#12-Datei zusammenbauen

Auch hierzu müssen Sie die OpenSSL-Software verwenden. Sie benötigen drei Dateien:

  • Ihren oben als private-key.pem abgespeicherten privaten Schlüssel.

  • Ihr neues Zertifikat certificate.pem. Sie finden es in der Anlage der E-Mail, die Sie von der Zertifizierungsstelle erhalten haben.

  • Die für das Zertifikat verwendeten Zwischenzertifikate. Speichern Sie dazu diese Datei als all-ca.pem ab, sie enthält alle infrage kommenden Zertifikate.

Mit dem folgenden Befehl (alles in einer Zeile eintippen) erzeugen Sie dann eine neue PKCS#12-Datei new-digital-id.p12, welche den privaten Schlüssel und alle erforderlichen Zertifikate (und nur diese) enthält:

openssl pkcs12 -export
  -in certificate.pem
  -inkey private-key.pem
  -chain -CAfile all-ca.pem
  -name "Neue digitale ID"
  -out new-digital-id.p12

Anstelle von Neue digitale ID sollten Sie Name und Datum oder ähnliche Angaben machen. Viele Programme zeigen diese Bezeichnung in der Liste der digitalen IDs an.

Sie werden dabei wieder mehrfach nach Passwörtern gefragt, da der private Schlüssel wieder erst aus- und dann wieder eingepackt wird. Sie können aber wieder gerne für beide Dateien das gleiche Passwort verwenden.

4. Neue PKCS#12-Datei importieren

Die Anleitungen für diesen Schritt finden Sie unter Einbau und Nutzung.