Keystore

Bei einem Keystore handelt es sich um eine Art Datenbankformat, das Zertifikate und private Schlüssel sicher aufbewahren kann (z. B. durch ein Passwort geschützt). Die Keystores können in unterschiedlichen (Datei-)Formaten vorliegen.

 

webPDF unterstützt die folgenden Formate für Keystores:

 

JKS (Java Keystore)

Ein Keystore-Format (Datei) speziell für den Einsatz in Java-basierten Anwendungen.
 

PKCS#11
 

Ein Keystore-Format für den Einsatz auf Smartcards. Es beschreibt eine API für die Verarbeitung von Zertifikaten auf kryptografischen Tokens.
 

PKCS#12
 

Ein dateibasierendes Keystore-Format zur Speicherung von privaten Schlüsseln und öffentlichen Zertifikaten, das mit einem Passwort gesichert werden kann. Ein weit verbreiteter Standard.

 

help

Bei PKCS#11 handelt es sich um den "Cryptographic Token Interface Standard". Er dient für den Zugriff auf Zertifikate und private Schlüssel, die auf einem kryptografischen Token (z. B. Smartcard) gespeichert sind.

 

Damit webPDF mit diesem Standard arbeiten kann, muss eine entsprechende API für den kryptografischen Token installiert sein.

 

Die Konfiguration für die PKCS#11-Schnittstelle befindet sich in der Datei "pkcs11.cfg", die im Konfigurationsordner von webPDF liegt. Die möglichen Einstellungen sind unter https://docs.oracle.com/javase/8/docs/technotes/guides/security/p11guide.html im Punkt "2.2 Configuration" beschrieben.

 

hint

Bitte beachten Sie, das in Java der Version 7 keine Unterstützung für PKCS#11 unter Windows 64bit verfügbar ist. Wenn Sie PKCS#11 unter Windows 64bit verwenden wollen, dann müssen Sie mindestens Java in der Version 8 einsetzen.

 

help

Informationen zu PKCS#11 finden Sie für Java 8 unter https://docs.oracle.com/javase/8/docs/technotes/guides/security/p11guide.html

 

Keystore für webPDF

Im Admin-Bereich unter "Keystore" wählen Sie den Typ des Keystores und können eine entsprechende Datei hochladen oder konfigurieren (siehe Grafik). Ohne diese Konfiguration kann der Signaturdienst von webPDF nicht genutzt werden. In dem Keystore müssen mindestens ein gültiges X.509-Zertifikat und ein privater Schlüssel enthalten sein. Der Keystore kann mit einem Passwort geschützt sein. Das Passwort für den Zugriff auf den Keystore muss in der Konfiguration angegeben werden.

 

dialog admin keystore

 

Zertifikate (und ggf. entsprechenden Keystores) werden von einer öffentlichen Zertifizierungsstelle (Certification Authority; CA) zur Verfügung gestellt.

 

tipp

Ein Werkzeug zur Erstellung und Bearbeitung von Keystores können Sie auf http://keystore-explorer.org/ oder http://portecle.sourceforge.net/ finden. Bitte beachten Sie, dass wir keinen Support für Probleme mit diesem Werkzeug leisten. Der technische Support umfasst lediglich webPDF selbst.

 

Die Auswahl des Schlüssels innerhalb des Keystores kann entweder statisch über die Konfiguration oder dynamisch beim Aufruf des Webservice erfolgen (siehe Parameter des Webservice).

 

Der Zugriff auf den Keystore erfolgt beim Start des webPDF-Servers. Sie sollten im Log des Servers bzw. auf der Konsole nachfolgende bzw. ähnliche Meldungen erhalten:

 

Serverlog Keystore

 

Erst wenn der Keystore erfolgreich geladen und aktiviert wurde, ist eine Nutzung des Signatur-Webservices möglich.

 

hint

Wenn sich im Keystore nur ein Zertifikat mit privatem Schlüssel befindet, dann ist die Auswahl des Schlüssels für die Signatur nicht notwendig. webPDF nimmt automatisch den verfügbaren Schlüssel für die Signatur.

 

Automatischer Keystore mit "self-signed certificate"

Um den Signaturdienst von webPDF zu testen, müssen Sie keinen Keystore erstellen. Ist in der Konfiguration kein Keystore hinterlegt, dann erstellt webPDF automatisch ein Zertifikat (self signed certificate) und einen privaten Schlüssel zum Startzeitpunkt des Servers. Dieses Zertifikat ist allerdings nur temporär verfügbar (solange der Server läuft) und kann daher auch nicht gültig validiert werden (siehe Meldungen in der Grafik).

 

Automatisches Zertifikat

 

Wenn Sie ein dauerhaftes Zertifikat verwenden möchten, dann müssen Sie dem Server wie zuvor beschrieben einen Keystore zur Verfügung stellen.