====== Certificate Authority ======
Für den Einsatz [[devices:env:certs-ss|selbst-signierter Zertifikate]] (im Gegensatz zu [[devices:env:certs-le|Let's encrypt Zertifikaten]]) muss einmalig eine Certificate Authority (CA) erzeugt werden. Mit dieser können dann selbst-signierte Zertifikate ausgestellt werden.

===== CA - Erzeugung =====
Eine eigene Certificate Authority muss nur **einmalig (!)** erzeugt werden, dazu müssen zunächst folgende Variablen festgelegt werden:

^ Variable     ^ Beschreibung                                                ^ Beispiel    ^
^ CA-Anbieter  | Hier kann der Firmenkurzname / die URL herangezogen werden  | HSE-IT      |
^ Datum        | Erzeugungsdatum der CA im ISO 8601 Format                   | 2023-01-09  |

Ordner <CA-Anbieter>-CA anlegen und in den Ordner wechseln:
<code>
cd
mkdir <CA-Anbieter>-CA
cd <CA-Anbieter>-CA
</code>

**CA-Key erzeugen**
<code>
openssl genrsa -aes256 -out <CA-Anbieter>-CA-<Datum>-key.pem 4096
</code>

**CA-Zertifikat erzeugen**
<code>
openssl req -key <CA-Anbieter>-CA-<Datum>-key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out <CA-Anbieter>-CA-<Datum>-crt.pem
</code>
  * Country Name: DE
  * State or Province Name: <Bundesland>
  * Locality Name: <Stadt>
  * Organization Name: <CA-Anbieter>
  * Organizational Unit Name: IT
  * Common Name: <CA-Anbieter> Certificate Authority
  * Email-Address: <keine>

Kontrolle:
<code>
openssl x509 -noout -text -in <CA-Anbieter>-CA-<Datum>-crt.pem
</code>

**Hinweis**:
  * Im Anschluss die beiden CA Dateien <CA-Anbieter>-CA-<Datum>-crt.pem und <CA-Anbieter>-CA-<Datum>-key.pem auf mindestens 2 (verschiedene) externe Datenträger speichern.
  * Die Datei <CA-Anbieter>-CA-<Datum>-key.pem **niemals** aus der Hand geben!

===== CA - Installation =====
Im Anschluss muss das Zertifikat der Certificate Authority (CA) in die Zielsysteme / Zielsoftware installiert werden. Dabei ist zu beachten, das einige Webbrowser den im Betriebssystem integrierten Zertifikatsspeicher nutzen und wieder andere, die ihren eigenen Zertifikatsspeicher mitbringen.

==== Apple iOS ====
Das Einfügen einer CA in den Zertifikatsspeicher in Apple iOS geschieht mit Hilfe des iPhone Configuration Tools. Eine Anleitung (ohne Gewähr) findet Ihr [[http://wiki.cylonmobile.com/home/add-ca-certification-authority-to-iphone|hier]].

==== Apple macOS ====
Der in Apple macOS integrierte Zertifikatsspeicher wird vom Webbrowser Apple Safari verwendet.
  * Im Finder auf die Datei <CA-Anbieter>-CA-<Datum>-crt.pem doppelklicken
    * Im Fenster "Zertifikate hinzufügen" den Schlüsselbund "System" auswählen und dann "Hinzufügen"
  * Finder / Programme / Dienstprogramme / Schlüsselbundverwaltung
    * Schlüsselbund "System" / Kategorie "Alle Objekte"
    * <CA-Anbieter>-CA / Rechte Maustaste / Informationen / Vertrauen:
      * Bei Verwendung dieses Zertifikates: Immer vertrauen
==== Google Android ====
  * Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auf den Speicher des Gerätes bewegen (via E-Mail, USB-Kabel...)
  * Einstellungen / Sicherheit & Datenschutz / Verschlüsselung & Anmeldedaten / Von SD-Karte installieren
  * Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen
  * Die PIN eingeben (oder via Fingerabdruck)
  * Zertifikatname: <CA-Anbieter>-CA
  * Verwendung der Anmeldedaten: VPN und Apps

==== Linux - Debian ====
<code>
sudo -i
apt install ca-certificates
mkdir -p /usr/share/ca-certificates/<CA-Anbieter>
</code>

  * CA-Zertifikat <CA-Anbieter>-CA-<Datum>-crt.pem dorthin kopieren und in .crt umbenennen
  * Auf **keinen (!)** Fall den CA-Key <CA-Anbieter>-CA-<Datum>-key.pem hier hinkopieren.

<code>
chown root:root /usr/share/ca-certificates/<CA-Anbieter>/<CA-Anbieter>*
chmod 644 /usr/share/ca-certificates/<CA-Anbieter>/<CA-Anbieter>*
nano /etc/ca-certificates.conf
</code>

  * CA-Zertifikat hier eintragen, Form: <CA-Anbieter>/<CA-Anbieter>-CA-<Datum>-crt.crt

<code>
update-ca-certificates
</code>

Das Ergebnis ist dann unter /etc/ssl/certs zu sehen, alle CAs sind dann in /etc/ssl/certs/ca-certificates.crt zusammengefasst

==== Linux - Fedora ====
https://www.devdungeon.com/content/how-add-trusted-ca-certificate-centosfedora
<code>
sudo -i
cp <CA-Anbieter>-CA-<Datum>-crt.pem /etc/pki/ca-trust/source/anchors/
# Auf **keinen (!)** Fall den CA-Key <CA-Anbieter>-CA-<Datum>-key.pem hier hinkopieren.
update-ca-trust
</code>

==== Microsoft Windows ====
Der in Microsoft Windows integrierte Zertifikatsspeicher wird von den Webbrowsern Microsoft Edge & Internet Explorer verwendet.
  * Systemsteuerung / Anzeige: Kleine Symbole / Internetoptionen / Inhalte / Zertifikate / Vertrauenswürdige Stammzertifizierungsstellen / Importieren...
  * Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen

==== Mozilla Firefox ====
Dieses Produkt verwendet seinen eigenen, integrierten Zertifikatsspeicher.
  * Einstellungen / Datenschutz & Sicherheit / Zertifikate anzeigen...
  * Zertifizierungsstellen / Importieren...
  * Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen
    * Dieser CA vertrauen, um Websites zu identifizieren: Aktiv
    * Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren: Aktiv