Benutzer-Werkzeuge

Webseiten-Werkzeuge


devices:env:ca

Certificate Authority

Für den Einsatz selbst-signierter Zertifikate (im Gegensatz zu Let's encrypt Zertifikaten) muss einmalig eine Certificate Authority (CA) erzeugt werden. Mit dieser können dann selbst-signierte Zertifikate ausgestellt werden.

CA - Erzeugung

Eine eigene Certificate Authority muss nur einmalig (!) erzeugt werden, dazu müssen zunächst folgende Variablen festgelegt werden:

Variable Beschreibung Beispiel
CA-Anbieter Hier kann der Firmenkurzname / die URL herangezogen werden HSE-IT
Datum Erzeugungsdatum der CA im ISO 8601 Format 2023-01-09

Ordner <CA-Anbieter>-CA anlegen und in den Ordner wechseln:

cd
mkdir <CA-Anbieter>-CA
cd <CA-Anbieter>-CA

CA-Key erzeugen

openssl genrsa -aes256 -out <CA-Anbieter>-CA-<Datum>-key.pem 4096

CA-Zertifikat erzeugen

openssl req -key <CA-Anbieter>-CA-<Datum>-key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out <CA-Anbieter>-CA-<Datum>-crt.pem
  • Country Name: DE
  • State or Province Name: <Bundesland>
  • Locality Name: <Stadt>
  • Organization Name: <CA-Anbieter>
  • Organizational Unit Name: IT
  • Common Name: <CA-Anbieter> Certificate Authority
  • Email-Address: <keine>

Kontrolle:

openssl x509 -noout -text -in <CA-Anbieter>-CA-<Datum>-crt.pem

Hinweis:

  • Im Anschluss die beiden CA Dateien <CA-Anbieter>-CA-<Datum>-crt.pem und <CA-Anbieter>-CA-<Datum>-key.pem auf mindestens 2 (verschiedene) externe Datenträger speichern.
  • Die Datei <CA-Anbieter>-CA-<Datum>-key.pem niemals aus der Hand geben!

CA - Installation

Im Anschluss muss das Zertifikat der Certificate Authority (CA) in die Zielsysteme / Zielsoftware installiert werden. Dabei ist zu beachten, das einige Webbrowser den im Betriebssystem integrierten Zertifikatsspeicher nutzen und wieder andere, die ihren eigenen Zertifikatsspeicher mitbringen.

Apple iOS

Das Einfügen einer CA in den Zertifikatsspeicher in Apple iOS geschieht mit Hilfe des iPhone Configuration Tools. Eine Anleitung (ohne Gewähr) findet Ihr hier.

Apple macOS

Der in Apple macOS integrierte Zertifikatsspeicher wird vom Webbrowser Apple Safari verwendet.

  • Im Finder auf die Datei <CA-Anbieter>-CA-<Datum>-crt.pem doppelklicken
    • Im Fenster „Zertifikate hinzufügen“ den Schlüsselbund „System“ auswählen und dann „Hinzufügen“
  • Finder / Programme / Dienstprogramme / Schlüsselbundverwaltung
    • Schlüsselbund „System“ / Kategorie „Alle Objekte“
    • <CA-Anbieter>-CA / Rechte Maustaste / Informationen / Vertrauen:
      • Bei Verwendung dieses Zertifikates: Immer vertrauen

Google Android

  • Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auf den Speicher des Gerätes bewegen (via E-Mail, USB-Kabel…)
  • Einstellungen / Sicherheit & Datenschutz / Verschlüsselung & Anmeldedaten / Von SD-Karte installieren
  • Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen
  • Die PIN eingeben (oder via Fingerabdruck)
  • Zertifikatname: <CA-Anbieter>-CA
  • Verwendung der Anmeldedaten: VPN und Apps

Linux - Debian

sudo -i
apt install ca-certificates
mkdir -p /usr/share/ca-certificates/<CA-Anbieter>
  • CA-Zertifikat <CA-Anbieter>-CA-<Datum>-crt.pem dorthin kopieren und in .crt umbenennen
  • Auf keinen (!) Fall den CA-Key <CA-Anbieter>-CA-<Datum>-key.pem hier hinkopieren.
chown root:root /usr/share/ca-certificates/<CA-Anbieter>/<CA-Anbieter>*
chmod 644 /usr/share/ca-certificates/<CA-Anbieter>/<CA-Anbieter>*
nano /etc/ca-certificates.conf
  • CA-Zertifikat hier eintragen, Form: <CA-Anbieter>/<CA-Anbieter>-CA-<Datum>-crt.crt
update-ca-certificates

Das Ergebnis ist dann unter /etc/ssl/certs zu sehen, alle CAs sind dann in /etc/ssl/certs/ca-certificates.crt zusammengefasst

Linux - Fedora

https://www.devdungeon.com/content/how-add-trusted-ca-certificate-centosfedora

sudo -i
cp <CA-Anbieter>-CA-<Datum>-crt.pem /etc/pki/ca-trust/source/anchors/
# Auf **keinen (!)** Fall den CA-Key <CA-Anbieter>-CA-<Datum>-key.pem hier hinkopieren.
update-ca-trust

Microsoft Windows

Der in Microsoft Windows integrierte Zertifikatsspeicher wird von den Webbrowsern Microsoft Edge & Internet Explorer verwendet.

  • Systemsteuerung / Anzeige: Kleine Symbole / Internetoptionen / Inhalte / Zertifikate / Vertrauenswürdige Stammzertifizierungsstellen / Importieren…
  • Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen

Mozilla Firefox

Dieses Produkt verwendet seinen eigenen, integrierten Zertifikatsspeicher.

  • Einstellungen / Datenschutz & Sicherheit / Zertifikate anzeigen…
  • Zertifizierungsstellen / Importieren…
  • Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen
    • Dieser CA vertrauen, um Websites zu identifizieren: Aktiv
    • Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren: Aktiv
devices/env/ca.txt · Zuletzt geändert: 2023/01/09 11:38 von hse