Vollbildmodus: Seiteninhalt ohne Menus

Eigene CA

Links

easy-rsa

easy-rsa wird oft mit openvpn zusammen benutzt, kann aber auch einzeln benutzt werden.

TinyCA

Benutzerfreundliche grafische Oberfläche für die Verwaltung einer CA.

openssl

Im Verzeichnis /usr/lib/ssl/misc befindet sich CA.sh bzw. CA.pl. Alternativ lassen sich die Skripte aus dem openssl-Paket ziehen.

Root-Zertifikat erstellen

  1. Die Konfigurationsdatei von openssl verändern: /usr/lib/ssl/openssl.conf
    1. den Abschnitt [demo_CA] kopieren und mit eigenen Einstellungen versehen
    2. einen entsprechendes Verzeichnis anlegen
  2.   ./CA.pl -newca
      

Das selbstsignierte Zertifikate ist in demoCA/cacert.pemDas RSA-Schlüsselpaar ist in /private/cakey.pemDie Fragen sinnvoll beantworten.

:!: Alte SSL-Zertifikate die auf Debian (und basierten) Systemen lassen sich mit ssh-vulnkey bzw. openvpn-vulkey überprüfen.

Root Zertifikate importieren

Root Zertifikate bzw. Stammzertifikate sind die Zertfikate der Stammzertifizierungsstellen die wiederum Zertifikate für Webseiten und anderen Diensten ausstellen. Als Webseitenbetreiber gehe ich also zu dieser Stammzertifizierungsstelle, weise mich aus und, wenn meine Identität überprüft wurde bekomme mein Zertifikate ausgestellt (ebenso eine Rechnung für diesen Dienst ;-). Da mein Webseitenbesucher das Stammzertifikat bereits installiert hat, kann er damit mein Zertifikat überprüfen.

Egal, ob man gesicherte Internetseiten aufrufen möchte, oder ob man E-Mail verschlüsseln / signieren oder auch überprüfen möchte. Ohne importiertes Root Zertifikat bekommt man in der Regel eine Fehlermeldung, dass die Zertifizierungstelle dem Browser / Mailprogramm unbekannt sei.

Um das Zertifikat in mehreren Programmen verwenden zu können bzw. es zu importieren, ist es ratsam, zuerst das Zertifikat zu speichern, um es anschliessend in die verschiedenen Programme zu importieren.

Windows

Systemweite Einstellung, gilt u.a. für Internet Explorer.

Auf die .crt-Datei (PEM-Format ist ok) muss nur ein Doppelklick ausgeführt werden. Es startet ein Assistent:

  1. Weiter
  2. „Alle Zertifikate in folgendem speicher speichern“
  3. „Durchsuchen“
  4. „Vertrauenswürdige Stammzertifizierungsstellen“
  5. Ok
  6. Weiter
  7. Fertigstellen

Alternativ sollte dieser Aufruf funktionieren:

%windir%\System32\certmgr.msc

Android

Vorbereitung: Zertifikatsdatei auf SD-Karte kopieren.

Der Import erfolgte bei mir unter Einstellungen –> Sicherheit –> (Anmeldedatenspeicher) Von SD-Karte installieren (Untertext: Zertifikate von SD-Karte installieren).

Anzumerken das das Zertifikate wirklich unter /mnt/SDCARD liegen muss, manche Geräte legen einen anderen mountpoint für die eigentliche (micro)SD an (z.B /mnt/extsd).

Alternativ kann man die Zertifikatsdateien mit einigen Dateimanager wie Totalcommander öffnen und damit ins System importieren.

Linux

Systemweite Einstellung,gilt u.a. für Kommandozeilenclients.

In /usr/lib/ssl/certs befinden sich symbolische Links auf Root-Zertifikate in /usr/share/ca-certificates 1). Dort müssen die systemweiten root-Zertifikate liegen.

Evolution

Um das Rootzertifikat in Evolution zu importieren, muss man folgende Schritte durchführen: Bearbeiten → Einstellungen → Zertifikate → Zertifizierungsstellen → Importieren und nun noch die gewünschte Zertifikatdatei auswählen.

Mozilla Firefox

Um das Rootzertifikat zu importieren, sind nur folgende Schritte nötig:

  • Firefox 2.x: Bearbeiten → Einstellungen → Erweitert → Sicherheit → Zertifikate

anzeigen → Zertifizierungsstellen →Importieren, hier muss dann nur noch die Datei mit dem gewünschten Zertifikat ausgewählt werden.

  • Firefox 3.x etwas andere Menüfolge:

Extras → Einstellungen → Erweitert → Verschlüsselung → Zertifikate anzeigen → Zertifizierungsstellen →Importieren

Mozilla Thunderbird

Extras → Einstellungen → Erweitert → „Zertifikate“ → „Zertifkate“ → „Zerftifizierungsstellen“ → „Importieren“ → Datei auswählen

IE / Outlook Express

Installation im/für Internet Explorer (5.x,6.x), dadurch wird das Zertifikat auch in Outlook Express mit integriert bzw. importiert:

Stamm-Zertifikat öffnen durch einfaches anclicken (NICHT „Speichern“, Warnung wegen möglichem Schadcode Code ignorieren) → Zertifikat installieren → Weiter → Zertifikatsspeicher automatisch wählen → Fertigstellen → Ja (Zertifikatsspeicher)

Safari / Mac OS X

  1. Die beiden PEM-Dateien durch einfaches anklicken herunterladen
  2. In der „Downloads“-Liste: Rechtsklick und „Öffnen“, dann erscheint der Zertifikat-Manager
  3. Sinnvoller Weise sollten die Zertifikate zum Schlüsselbund „System“ oder „System-Root“ hinzugefügt werden
1) falls dieser Ordner nicht existiert muss das Paket ca-certificates installiert werden
 
netzwerke/eigene-ca-für-ssl.txt · Zuletzt geändert: 2017/02/17 18:59 von st
 
Backlinks: [[netzwerke:eigene-ca-für-ssl]]