====== Eigene CA ======



===== Links =====

  * [[apache:ssl#konfiguration-für-ssl|Apache Webserver]]
  * [[software:citadel-administration#ssl-zertifikat|Citadel]]


===== easy-rsa =====

[[https://github.com/OpenVPN/easy-rsa|easy-rsa]] wird oft mit openvpn zusammen benutzt, kann aber auch einzeln benutzt werden.

===== TinyCA =====

Benutzerfreundliche grafische Oberfläche für die Verwaltung einer CA.

===== openssl =====

Im Verzeichnis ''/usr/lib/ssl/misc'' befindet sich CA.sh bzw. CA.pl. Alternativ lassen sich die Skripte aus dem [[http://openssl.org/source/|openssl-Paket]] ziehen.

==== Root-Zertifikat erstellen ====

  - Die Konfigurationsdatei von openssl verändern: ''/usr/lib/ssl/openssl.conf''
    - den Abschnitt [demo_CA] kopieren und mit eigenen Einstellungen versehen
    - einen entsprechendes Verzeichnis anlegen
  - <code>
  ./CA.pl -newca
  </code>

Das selbstsignierte Zertifikate ist in ''demoCA/cacert.pem''Das RSA-Schlüsselpaar ist in ''/private/cakey.pem''Die Fragen sinnvoll beantworten.

:!: Alte SSL-Zertifikate die auf [[debian:Debian]] (und basierten) Systemen lassen sich mit ''ssh-vulnkey'' bzw. ''openvpn-vulkey'' überprüfen.

====== Root Zertifikate importieren ======

Root Zertifikate bzw. Stammzertifikate sind die Zertfikate der Stammzertifizierungsstellen die wiederum Zertifikate für Webseiten und anderen Diensten ausstellen. Als Webseitenbetreiber gehe ich also zu dieser Stammzertifizierungsstelle, weise mich aus und, wenn meine Identität überprüft wurde bekomme mein Zertifikate ausgestellt (ebenso eine Rechnung für diesen Dienst ;-). Da mein Webseitenbesucher das Stammzertifikat bereits installiert hat, kann er damit mein Zertifikat überprüfen.

Egal, ob man gesicherte Internetseiten aufrufen möchte, oder ob man E-Mail verschlüsseln / signieren oder auch überprüfen möchte. Ohne importiertes Root Zertifikat bekommt man in der Regel eine Fehlermeldung, dass die Zertifizierungstelle dem Browser / Mailprogramm unbekannt sei.

Um das Zertifikat in mehreren Programmen verwenden zu können bzw. es zu importieren, ist es ratsam, zuerst das Zertifikat zu speichern, um es anschliessend in die verschiedenen Programme zu importieren.

===== Windows =====

Systemweite Einstellung, gilt u.a. für Internet Explorer.

Auf die .crt-Datei (PEM-Format ist ok) muss nur ein Doppelklick ausgeführt werden. Es startet ein Assistent:

  - Weiter
  - "Alle Zertifikate in folgendem speicher speichern"
  - "Durchsuchen"
  - "Vertrauenswürdige Stammzertifizierungsstellen"
  - Ok
  - Weiter
  - Fertigstellen

Alternativ sollte dieser Aufruf funktionieren:

<code>
%windir%\System32\certmgr.msc
</code>


===== Android =====

Vorbereitung: Zertifikatsdatei auf SD-Karte kopieren.

Der Import erfolgte bei mir unter Einstellungen --> Sicherheit --> (Anmeldedatenspeicher) Von SD-Karte installieren (Untertext: Zertifikate von SD-Karte installieren).

Anzumerken das das Zertifikate wirklich unter /mnt/SDCARD liegen muss, manche Geräte legen einen anderen mountpoint für die eigentliche (micro)SD an (z.B /mnt/extsd).

Alternativ kann man die Zertifikatsdateien mit einigen Dateimanager wie Totalcommander öffnen und damit ins System importieren.


===== Linux =====

Systemweite Einstellung,gilt u.a. für Kommandozeilenclients.

In ''/etc/ssl/certs/'' ((früher ''/usr/lib/ssl/certs'')) befinden sich symbolische Links auf Root-Zertifikate in ''/usr/share/ca-certificates'' ((falls dieser Ordner nicht existiert muss das Paket ''ca-certificates'' installiert werden)). Dort müssen die systemweiten root-Zertifikate liegen.

:!: diese müssen die Endung .crt haben und im pem-Format vorliegen ((ggf. konvertieren openssl x509 -in foo.pem -inform PEM -out foo.crt))

  * [[debian:Debian]]/[[ubuntu:Ubuntu]] (siehe auch: [[http://wiki.ubuntuusers.de/CA#CA-Zertifikat-importieren|CA-Zertifikat-importieren]]): interaktiv:<code bash>sudo dpkg-reconfigure ca-certificates</code>ohne Rückfragen:<code bash>sudo update-ca-certificates</code>

===== Evolution =====

Um das Rootzertifikat in Evolution zu importieren, muss man folgende Schritte durchführen: Bearbeiten -> Einstellungen -> Zertifikate -> Zertifizierungsstellen -> Importieren und nun noch die gewünschte Zertifikatdatei auswählen.

===== Mozilla Firefox =====

Um das Rootzertifikat zu importieren, sind nur folgende Schritte nötig:

  * **Firefox 2.x**: Bearbeiten -> Einstellungen -> Erweitert -> Sicherheit -> Zertifikate

anzeigen -> Zertifizierungsstellen ->Importieren, hier muss dann nur noch die Datei mit dem gewünschten Zertifikat ausgewählt werden.

  * **Firefox 3.x** etwas andere Menüfolge: \\

Extras -> Einstellungen -> Erweitert -> Verschlüsselung -> Zertifikate anzeigen -> Zertifizierungsstellen ->Importieren

===== Mozilla Thunderbird =====

Extras -> Einstellungen -> Erweitert -> "Zertifikate" -> "Zertifkate" -> "Zerftifizierungsstellen" -> "Importieren" -> Datei auswählen

===== IE / Outlook Express =====

Installation im/für Internet Explorer (5.x,6.x), dadurch wird das Zertifikat auch in Outlook Express mit integriert bzw. importiert:

Stamm-Zertifikat öffnen durch einfaches anclicken (NICHT "Speichern", Warnung wegen möglichem Schadcode Code ignorieren) -> Zertifikat installieren -> Weiter -> Zertifikatsspeicher automatisch wählen -> Fertigstellen -> Ja (Zertifikatsspeicher)

===== Safari / Mac OS X =====

  - Die beiden PEM-Dateien durch einfaches anklicken herunterladen
  - In der "Downloads"-Liste: Rechtsklick und "Öffnen", dann erscheint der Zertifikat-Manager
  - Sinnvoller Weise sollten die Zertifikate zum Schlüsselbund "System" oder "System-Root" hinzugefügt werden