Stammzertifikat von CAcert

Aus gaiahelp
Version vom 21. April 2016, 09:32 Uhr von S.trucksaess (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis


Kurzer Überblick

  • Seit 2013 arbeiten wir nicht mehr mit selbst signierten Zertifikaten. Stattdessen greifen wir auf Zertifikate von CAcert (http://www.cacert.org) zurück.
  • Die einfachste Möglichkeit ist, das CAcert-Stammzertifikat herunterladen und sowohl in Ihrem Browser als auch in Ihrem Mail-Programm installieren und für vertrauenswürdig erklären. Die Schritte sind im Folgenden beispielhaft für den Browser Firefox und das Mailprogramm Thunderbird erklärt:


CAcert-Stammzertifikat im Firefox installieren

  1. Herunterladen und installieren
    • Rufen Sie die Seite https://www.cacert.org/index.php?id=3 auf.
    • Ggf. wird bei Ihnen, sofern Sie selbst noch kein CAcert-Zertifikat installiert haben, eine "nicht vertrauenswürdige Verbindung" signalisiert.
    • Akzeptieren Sie einmalig das von CAcert verwendete Zertifikat, um eine sichere Verbindung zu gewährleisten, indem Sie erst auf "Ich kenne das Risiko" klicken, und unten auf "Ausnahmen hinzufügen". Aktivieren Sie anschließend das Kästchen vor "Diese Ausnahme dauerhaft speichern" und klicken Sie dann unten auf die Schaltfläche "Sicherheits-Ausnahmeregel bestätigen"
    • Es wird die CAcert-Zertifikatsseite angezeigt.
    • Dort können Sie, sofern Sie einen der unter "Windows Installer" angeführten Browser nutzen, das "Windows Installationspaket" herunterladen und ausführen.
    • Falls Sie einen anderen Browser nutzen, wie etwa den Mozilla Firefox, müssen Sie das richtige Zertifikat manuell installieren: Klicken Sie dazu auf den Link "Zwischenzertifikat (PEM Format)" und aktivieren Sie im folgenden Dialog "Herunterladen des Zertifikats" das oberste Kästchen (vor "Dieser CA vertrauen, um Websites zu identifizieren". Die anderen beiden Optionen sind für unsere Zwecke unwichtig und brauchen nicht aktiviert zu werden.
    • Durch einen Klick auf OK wird der Vorgang abgeschlossen.
  2. Installieren Sie am besten direkt anschließend das Zertifikat für Ihr Mail-Programm, wie es in Folgenden beispielhaft für den Thunderbird erklärt ist


CAcert-Stammzertifikat im Thunderbird installieren

  1. Herunterladen
    • Rufen Sie, wie oben, die Seite https://www.cacert.org/index.php?id=3 auf.
    • Ggf. wird bei Ihnen, sofern Sie selbst noch kein CAcert-Zertifikat installiert haben, eine "nicht vertrauenswürdige Verbindung" signalisiert. Wenn Sie die obigen Schritte befolgt haben, wird die Seite ohne Meldung angezeigt, andernfalls müssen Sie das CAcert-Zertifkat manuell akzeptieren, wie oben erläutert.
    • Es wird die CAcert-Zertifikatsseite angezeigt.
    • Laden Sie das Klasse-3-Zwischenzertifikat auf Ihren Rechner herunter, indem Sie einen Rechtsklick auf den Link "Zwischenzertifikat (PEM Format)" auführen und im Kontextmenü die Option "Ziel speichern unter" auswählen.
    • Belassen Sie im folgenden Dateidialog den Namen "class3.crt" und speichern Sie die Datei zum Beispiel auf Ihrem Desktop.
  2. Installieren
    • Starten Sie Ihren Thunderbird.
    • Öffnen Sie den Dialog "Einstellungen", indem Sie entweder über das Hauptmenü Extras > Einstellungen wählen oder über den Button "Anwendungsmenü" (das ist meist der mit den 3 Querstreifen) den Befehl Einstellungen > Einstellungen auswählen.
    • Klicken Sie oben rechts auf den Menüpunkt Erweitert, dort dann, im Reiter Zertifikate auf den Button Zertifikate.
    • Klicken Sie dann unter dem Reiter "Zertifizierungsstellen" ganz unten auf "Importieren".
    • Wählen Sie das soeben heruntergeladene und z.B. auf Ihrem Desktop gespeicherte Zertifikat "class3.crt" aus.
    • Aktivieren Sie, wie beim Browser, im sich öffnenden Dialog "Herunterladen des Zertifikats" das oberste Kästchen (vor "Dieser CA vertrauen, um Websites zu identifizieren". Die anderen beiden Optionen sind für unsere Zwecke unwichtig und brauchen nicht aktiviert zu werden.
    • Durch einen Klick auf OK wird der Vorgang abgeschlossen.

Danach sollte Ihr Thunderbird das neue Gaia-Zertifikat des neuen Servers ohne Beanstandung akzeptieren.


Hintergrundinfo

  • Zertifikate werden für den Aufbau (abhör-) sicherer Verbindungen benötigt.
  • Dabei werden die Daten bereits im Browser/E-Mail-Programm verschlüsselt, und erst auf dem Zielserver von der dortigen Anwendung (etwa dem Passwort-Erkennungsprogramm bei einem Login) wieder entschlüsselt. Dadurch wird sicher gestellt, dass sie "unterwegs" nicht von Dritten gelesen werden können.
  • Zertifikate, die von im Browser von vorn herein hinterlegten Zertifizierungsstellen ausgestellt und signiert wurden, werden "automatisch" vom Browser akzeptiert, Zertifikate anderer Zertifizierungsstellen müssen manuell wie oben beschrieben installiert und für vertrauenswürdig erklärt werden.
  • Die Sicherheit beider Vorgehensweisen ist identisch, nur ist die manuelle mit höherem Aufwand für die Anwender verbunden.
  • Die "automatische" Hinterlegung im Browser ist jedoch sehr teuer und kann daher nur von großen Firmen geleistet werden.
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Navigation
Werkzeuge