Certificate Authority

Für den Einsatz selbst-signierter Zertifikate (im Gegensatz zu Let's encrypt Zertifikaten) muss einmalig eine Certificate Authority (CA) erzeugt werden. Mit dieser können dann selbst-signierte Zertifikate ausgestellt werden.

Eine eigene Certificate Authority muss nur einmalig (!) erzeugt werden, dazu müssen zunächst folgende Variablen festgelegt werden:

Ordner <CA-Anbieter>-CA anlegen und in den Ordner wechseln:

cd
mkdir <CA-Anbieter>-CA
cd <CA-Anbieter>-CA

CA-Key erzeugen

openssl genrsa -aes256 -out <CA-Anbieter>-CA-<Datum>-key.pem 4096

CA-Zertifikat erzeugen

openssl req -key <CA-Anbieter>-CA-<Datum>-key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out <CA-Anbieter>-CA-<Datum>-crt.pem

• Country Name: DE
• State or Province Name: <Bundesland>
• Locality Name: <Stadt>
• Organization Name: <CA-Anbieter>
• Organizational Unit Name: IT
• Common Name: <CA-Anbieter> Certificate Authority
• Email-Address: <keine>

Kontrolle:

openssl x509 -noout -text -in <CA-Anbieter>-CA-<Datum>-crt.pem

Hinweis:

• Im Anschluss die beiden CA Dateien <CA-Anbieter>-CA-<Datum>-crt.pem und <CA-Anbieter>-CA-<Datum>-key.pem auf mindestens 2 (verschiedene) externe Datenträger speichern.
• Die Datei <CA-Anbieter>-CA-<Datum>-key.pem niemals aus der Hand geben!

Im Anschluss muss das Zertifikat der Certificate Authority (CA) in die Zielsysteme / Zielsoftware installiert werden. Dabei ist zu beachten, das einige Webbrowser den im Betriebssystem integrierten Zertifikatsspeicher nutzen und wieder andere, die ihren eigenen Zertifikatsspeicher mitbringen.

Das Einfügen einer CA in den Zertifikatsspeicher in Apple iOS geschieht mit Hilfe des iPhone Configuration Tools. Eine Anleitung (ohne Gewähr) findet Ihr hier.

Der in Apple macOS integrierte Zertifikatsspeicher wird vom Webbrowser Apple Safari verwendet.

• Im Finder auf die Datei <CA-Anbieter>-CA-<Datum>-crt.pem doppelklicken
  • Im Fenster „Zertifikate hinzufügen“ den Schlüsselbund „System“ auswählen und dann „Hinzufügen“
• Finder / Programme / Dienstprogramme / Schlüsselbundverwaltung
  • Schlüsselbund „System“ / Kategorie „Alle Objekte“
  • <CA-Anbieter>-CA / Rechte Maustaste / Informationen / Vertrauen:
    • Bei Verwendung dieses Zertifikates: Immer vertrauen

• Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auf den Speicher des Gerätes bewegen (via E-Mail, USB-Kabel…)
• Einstellungen / Sicherheit & Datenschutz / Verschlüsselung & Anmeldedaten / Von SD-Karte installieren
• Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen
• Die PIN eingeben (oder via Fingerabdruck)
• Zertifikatname: <CA-Anbieter>-CA
• Verwendung der Anmeldedaten: VPN und Apps

sudo -i
apt install ca-certificates
mkdir -p /usr/share/ca-certificates/<CA-Anbieter>

• CA-Zertifikat <CA-Anbieter>-CA-<Datum>-crt.pem dorthin kopieren und in .crt umbenennen
• Auf keinen (!) Fall den CA-Key <CA-Anbieter>-CA-<Datum>-key.pem hier hinkopieren.

chown root:root /usr/share/ca-certificates/<CA-Anbieter>/<CA-Anbieter>*
chmod 644 /usr/share/ca-certificates/<CA-Anbieter>/<CA-Anbieter>*
nano /etc/ca-certificates.conf

• CA-Zertifikat hier eintragen, Form: <CA-Anbieter>/<CA-Anbieter>-CA-<Datum>-crt.crt

update-ca-certificates

Das Ergebnis ist dann unter /etc/ssl/certs zu sehen, alle CAs sind dann in /etc/ssl/certs/ca-certificates.crt zusammengefasst

https://www.devdungeon.com/content/how-add-trusted-ca-certificate-centosfedora

sudo -i
cp <CA-Anbieter>-CA-<Datum>-crt.pem /etc/pki/ca-trust/source/anchors/
# Auf **keinen (!)** Fall den CA-Key <CA-Anbieter>-CA-<Datum>-key.pem hier hinkopieren.
update-ca-trust

Der in Microsoft Windows integrierte Zertifikatsspeicher wird von den Webbrowsern Microsoft Edge & Internet Explorer verwendet.

• Systemsteuerung / Anzeige: Kleine Symbole / Internetoptionen / Inhalte / Zertifikate / Vertrauenswürdige Stammzertifizierungsstellen / Importieren…
• Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen

Dieses Produkt verwendet seinen eigenen, integrierten Zertifikatsspeicher.

• Einstellungen / Datenschutz & Sicherheit / Zertifikate anzeigen…
• Zertifizierungsstellen / Importieren…
• Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen
  • Dieser CA vertrauen, um Websites zu identifizieren: Aktiv
  • Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren: Aktiv