netzwerke:eigene-ca-für-ssl

Eigene CA

easy-rsa wird oft mit openvpn zusammen benutzt, kann aber auch einzeln benutzt werden.

Benutzerfreundliche grafische Oberfläche für die Verwaltung einer CA.

Im Verzeichnis /usr/lib/ssl/misc befindet sich CA.sh bzw. CA.pl. Alternativ lassen sich die Skripte aus dem openssl-Paket ziehen.

  1. Die Konfigurationsdatei von openssl verändern: /usr/lib/ssl/openssl.conf
    1. den Abschnitt [demo_CA] kopieren und mit eigenen Einstellungen versehen
    2. einen entsprechendes Verzeichnis anlegen
  2.   ./CA.pl -newca
      

Das selbstsignierte Zertifikate ist in demoCA/cacert.pemDas RSA-Schlüsselpaar ist in /private/cakey.pemDie Fragen sinnvoll beantworten.

:!: Alte SSL-Zertifikate die auf Debian (und basierten) Systemen lassen sich mit ssh-vulnkey bzw. openvpn-vulkey überprüfen.

Root Zertifikate importieren

Root Zertifikate bzw. Stammzertifikate sind die Zertfikate der Stammzertifizierungsstellen die wiederum Zertifikate für Webseiten und anderen Diensten ausstellen. Als Webseitenbetreiber gehe ich also zu dieser Stammzertifizierungsstelle, weise mich aus und, wenn meine Identität überprüft wurde bekomme mein Zertifikate ausgestellt (ebenso eine Rechnung für diesen Dienst ;-). Da mein Webseitenbesucher das Stammzertifikat bereits installiert hat, kann er damit mein Zertifikat überprüfen.

Egal, ob man gesicherte Internetseiten aufrufen möchte, oder ob man E-Mail verschlüsseln / signieren oder auch überprüfen möchte. Ohne importiertes Root Zertifikat bekommt man in der Regel eine Fehlermeldung, dass die Zertifizierungstelle dem Browser / Mailprogramm unbekannt sei.

Um das Zertifikat in mehreren Programmen verwenden zu können bzw. es zu importieren, ist es ratsam, zuerst das Zertifikat zu speichern, um es anschliessend in die verschiedenen Programme zu importieren.

Systemweite Einstellung, gilt u.a. für Internet Explorer.

Auf die .crt-Datei (PEM-Format ist ok) muss nur ein Doppelklick ausgeführt werden. Es startet ein Assistent:

  1. Weiter
  2. „Alle Zertifikate in folgendem speicher speichern“
  3. „Durchsuchen“
  4. „Vertrauenswürdige Stammzertifizierungsstellen“
  5. Ok
  6. Weiter
  7. Fertigstellen

Alternativ sollte dieser Aufruf funktionieren:

%windir%\System32\certmgr.msc

Vorbereitung: Zertifikatsdatei auf SD-Karte kopieren.

Der Import erfolgte bei mir unter Einstellungen –> Sicherheit –> (Anmeldedatenspeicher) Von SD-Karte installieren (Untertext: Zertifikate von SD-Karte installieren).

Anzumerken das das Zertifikate wirklich unter /mnt/SDCARD liegen muss, manche Geräte legen einen anderen mountpoint für die eigentliche (micro)SD an (z.B /mnt/extsd).

Alternativ kann man die Zertifikatsdateien mit einigen Dateimanager wie Totalcommander öffnen und damit ins System importieren.

Systemweite Einstellung,gilt u.a. für Kommandozeilenclients.

In /etc/ssl/certs/ 1) befinden sich symbolische Links auf Root-Zertifikate in /usr/share/ca-certificates 2). Dort müssen die systemweiten root-Zertifikate liegen.

:!: diese müssen die Endung .crt haben und im pem-Format vorliegen 3)

Um das Rootzertifikat in Evolution zu importieren, muss man folgende Schritte durchführen: Bearbeiten → Einstellungen → Zertifikate → Zertifizierungsstellen → Importieren und nun noch die gewünschte Zertifikatdatei auswählen.

Um das Rootzertifikat zu importieren, sind nur folgende Schritte nötig:

  • Firefox 2.x: Bearbeiten → Einstellungen → Erweitert → Sicherheit → Zertifikate

anzeigen → Zertifizierungsstellen →Importieren, hier muss dann nur noch die Datei mit dem gewünschten Zertifikat ausgewählt werden.

  • Firefox 3.x etwas andere Menüfolge:

Extras → Einstellungen → Erweitert → Verschlüsselung → Zertifikate anzeigen → Zertifizierungsstellen →Importieren

Extras → Einstellungen → Erweitert → „Zertifikate“ → „Zertifkate“ → „Zerftifizierungsstellen“ → „Importieren“ → Datei auswählen

Installation im/für Internet Explorer (5.x,6.x), dadurch wird das Zertifikat auch in Outlook Express mit integriert bzw. importiert:

Stamm-Zertifikat öffnen durch einfaches anclicken (NICHT „Speichern“, Warnung wegen möglichem Schadcode Code ignorieren) → Zertifikat installieren → Weiter → Zertifikatsspeicher automatisch wählen → Fertigstellen → Ja (Zertifikatsspeicher)

  1. Die beiden PEM-Dateien durch einfaches anklicken herunterladen
  2. In der „Downloads“-Liste: Rechtsklick und „Öffnen“, dann erscheint der Zertifikat-Manager
  3. Sinnvoller Weise sollten die Zertifikate zum Schlüsselbund „System“ oder „System-Root“ hinzugefügt werden

1)
früher /usr/lib/ssl/certs
2)
falls dieser Ordner nicht existiert muss das Paket ca-certificates installiert werden
3)
ggf. konvertieren openssl x509 -in foo.pem -inform PEM -out foo.crt