Benutzer-Werkzeuge

Webseiten-Werkzeuge


zertifikate

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
zertifikate [2016/11/25 17:29]
3023 [Zertifikate im Java-Keystore anzeigen]
zertifikate [2021/04/21 14:54]
3023 [benötigte Zertifikate]
Zeile 2: Zeile 2:
  
 ====== Übersicht - Wozu dienen die Zertifikate ====== ====== Übersicht - Wozu dienen die Zertifikate ======
-Wenn Ihr PC eine verschlüsselte Verbindung über SSL bzw. TLS zu einem Server der Hochschule herstellt, überprüft Ihr PC, ob die Verbindung wirklich zum korrekten Server hergestellt wurde. Sie wollen schließlich nicht Ihre Zugangsdaten zu FHS-Diensten an irgendjemanden aushändigen, der sich lediglich als FHS ausgibt.+Wenn Ihr PC eine verschlüsselte Verbindung über SSL bzw. TLS zu einem Server der Hochschule herstellt, überprüft Ihr PC, ob die Verbindung wirklich zum korrekten Server hergestellt wurde. Sie wollen schließlich nicht Ihre Zugangsdaten zu HSM-Diensten an irgendjemanden aushändigen, der sich lediglich als HSM ausgibt.
  
 Für diese Überprüfung stellt jeder Server-Dienst ein Dienst-Zertifikat bereit. Dieses enthält den öffentlichen Schlüssel (public key) des Dienstes und ist von einer Zertifizierungsstelle (certification authority, CA) unterschrieben (signiert). Für diese Überprüfung stellt jeder Server-Dienst ein Dienst-Zertifikat bereit. Dieses enthält den öffentlichen Schlüssel (public key) des Dienstes und ist von einer Zertifizierungsstelle (certification authority, CA) unterschrieben (signiert).
Zeile 12: Zeile 12:
 Die Menge der vorkonfigurierten CAs unterscheidet sich, abhängig von der Windows-Version bzw. Linux-Distribution. Daher sind ggf. Anpassungen erforderlich. Die Menge der vorkonfigurierten CAs unterscheidet sich, abhängig von der Windows-Version bzw. Linux-Distribution. Daher sind ggf. Anpassungen erforderlich.
  
-Aus Kosten- und Aufwandsgründen verwenden einige Dienste der FHS selbst-signierte Zertifikate. Daher ist es sinnvoll, die CA-Zertifikate der FHS und die zugehörige CA-Kette zu importieren.+Aus Kosten- und Aufwandsgründen verwenden einige Dienste der HSM selbst-signierte Zertifikate. Daher ist es sinnvoll, die CA-Zertifikate der HSM und die zugehörige CA-Kette zu importieren.
  
-====== benötigte Zertifikate ====== +====== Benötigte Zertifikate ====== 
- Hier finden Sie Zertifikate "Zertifikat der Deutschen Telekom Root CA 2", "Zertifikat der DFN-PKI DFN-Verein PCA Global G01" und Zertifikat der Fachhochschule Schmalkalden CA 1". +Auf der [[https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=1610|DFN-Webseite für Zertifikate]] finden Sie das Wurzelzertifikat, das DFN-PCA-Zertifikat und das DFN-CA Global G2 Zertifikat. 
- +Klicken Sie jeden der drei Links mit der rechten Maustaste an, wählen Sie im Kontextmenü "Ziel speichern unter..." und speichern Sie die Zertifikate mit den korrigierten Dateinamen "dfn-rootcert.crt", "dfn-intermediatecacert.crt" und "dfn-cacert.crt" ab. Sie können sich auch die Zertifikatskette als PEM-Datei herunterladen.
-Laden Sie alle drei Zertifikate herunter und speichern Sie sie im Verzeichnis C:\Temp (Windows) bzw. /tmp (Linux,Unix). +
- +
-DFN-Verein PCA Global G01: [[https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/intermediatecacert.crt|intermediatecacert.crt]] +
- +
-Deutsche Telekom Root CA 2: [[https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/rootcert.crt|rootcert.crt]] +
- +
-Fachhochschule Schmalkalden CA 1: [[https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/cacert.crt|cacert.crt]]+
  
 Zusätzlich wird das [[http://rz.fh-schmalkalden.de/iukca3.crt|CA-Zertifikat]] für hochschulinterne Dienste benötigt. Speichern Sie auch iukca3.crt in C:\Temp bzw. /tmp ab. Zusätzlich wird das [[http://rz.fh-schmalkalden.de/iukca3.crt|CA-Zertifikat]] für hochschulinterne Dienste benötigt. Speichern Sie auch iukca3.crt in C:\Temp bzw. /tmp ab.
  
-Die Zertifikatskette können Sie hier laden: [[https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/chain.txt]] 
  
 ====== Zertifikate installieren unter Windows ====== ====== Zertifikate installieren unter Windows ======
Zeile 44: Zeile 36:
   * Unter Windows 7 ist das Zertifikat "Deutsche Telekom Root CA 2" bereits vorhanden. Falls es unter anderen Windows-Versionen noch nicht vorhanden ist, muss es mit hinzugefügt werden.\\ {{vpn:certs-sc08.png}}   * Unter Windows 7 ist das Zertifikat "Deutsche Telekom Root CA 2" bereits vorhanden. Falls es unter anderen Windows-Versionen noch nicht vorhanden ist, muss es mit hinzugefügt werden.\\ {{vpn:certs-sc08.png}}
   * Zertifikate hinzufügen in folgender Reihenfolge:   * Zertifikate hinzufügen in folgender Reihenfolge:
-    * Deutsche Telekom Root CA 2, telekom.crt (nur falls noch nicht vorhanden) +    * Deutsche Telekom Root CA 2, dfn-rootcert.crt (nur falls noch nicht vorhanden) 
-    * DFN-Verein PCA Global G01, dfn.crt +    * DFN-Verein PCA Global G01, dfn-intermediatecert.crt 
-    * Fachhochschule Schmalkalden CA 1, cacert.crt+    * DFN-Verein CA CA 1, dfn-cacert.crt
     * RZ CA 3, iukca3.crt     * RZ CA 3, iukca3.crt
-  * Vorgehensweise (hier gezeigt für dfn.crt):+  * Vorgehensweise (hier gezeigt für dfn-cacert.crt):
     * Im Menü "Aktion", "Alle Aufgaben", "Importieren..." wählen.\\ {{vpn:certs-sc09.png}}     * Im Menü "Aktion", "Alle Aufgaben", "Importieren..." wählen.\\ {{vpn:certs-sc09.png}}
     * Auf der Willkommensseite des Assistenten "Weiter >" klicken.\\ {{vpn:certs-sc10.png}}     * Auf der Willkommensseite des Assistenten "Weiter >" klicken.\\ {{vpn:certs-sc10.png}}
-    * Auf der "Zu importierende Datei"-Seite den Button "Durchsuchen" klicken, in der Dateiauswahl-Dialogbox die Datei c:\temp\dfn.crt suchen und markieren und mit "Öffnen" bzw. "OK" bestätigen.\\ {{vpn:certs-sc11.png}}\\ {{vpn:certs-sc12.png}}+    * Auf der "Zu importierende Datei"-Seite den Button "Durchsuchen" klicken, in der Dateiauswahl-Dialogbox die Datei c:\temp\dfn-cacert.crt suchen und markieren und mit "Öffnen" bzw. "OK" bestätigen. Hinweis: Das Bild mit dem Dateinamen ist älter und zeigt eine vorherige Version des Dateinamens\\ {{vpn:certs-sc11.png}}\\ {{vpn:certs-sc12.png}}
     * Auf der "Zu importierende Datei"-Seite ist jetzt die gewünschte Datei sichtbar, mit "Weiter >" bestätigen.\\ {{vpn:certs-sc13.png}}     * Auf der "Zu importierende Datei"-Seite ist jetzt die gewünschte Datei sichtbar, mit "Weiter >" bestätigen.\\ {{vpn:certs-sc13.png}}
     * Auf der "Zertifikatsspeicher"-Seite wird die Standardeinstellung "Vertrauenswürdige Stammzertifizierungsstellen" beibehalten und mit "Weiter >" bestätigt.\\ {{vpn:certs-sc14.png}}     * Auf der "Zertifikatsspeicher"-Seite wird die Standardeinstellung "Vertrauenswürdige Stammzertifizierungsstellen" beibehalten und mit "Weiter >" bestätigt.\\ {{vpn:certs-sc14.png}}
Zeile 66: Zeile 58:
 <file bash certcyg.sh> <file bash certcyg.sh>
 cd /usr/ssl/certs cd /usr/ssl/certs
-cp /cygdrive/c/temp/telekom.crt telekom.crt +cp /cygdrive/c/temp/dfn-rootcert.crt dfn-rootcert.crt 
-cp /cygdrive/c/temp/dfn.crt dfn.crt +cp /cygdrive/c/temp/dfn-intermediatecert.crt dfn-intermediatecert.crt 
-cp /cygdrive/c/temp/cacert.crt fhs-ca.crt+cp /cygdrive/c/temp/dfn-cacert.crt dfn-cacert.crt
 cp /cygdrive/c/temp/iukca3.crt iuk3ca.crt cp /cygdrive/c/temp/iukca3.crt iuk3ca.crt
-openssl x509 -subject_hash -noout -in telekom.crt +openssl x509 -subject_hash -noout -inform der -in dfn-rootcert.crt 
-openssl x509 -subject_hash -noout -in dfn.crt +openssl x509 -subject_hash -noout -inform der -in dfn-intermediatecert.crt 
-openssl x509 -subject_hash -noout -in fhs-ca.crt+openssl x509 -subject_hash -noout -inform der -in dfn-cacert.crt
 openssl x509 -subject_hash -noout -in iukca3.crt openssl x509 -subject_hash -noout -in iukca3.crt
-ln -s telekom.crt 812e17de.0 +ln -s dfn-rootcert.crt 1e09d511.0 
-ln -s dfn.crt 6107e209.0 +ln -s dfn-intermediatecert.crt 8dcb65b2.0 
-ln -s fhs-ca.crt 74f0e817.0+ln -s dfn-cacert.crt 6ab64010.0
 ln -s iukca3.crt 7a869ab8.0 ln -s iukca3.crt 7a869ab8.0
 chmod 644 812e17de.0 6107e209.0 74f0e817.0 7a869ab8.0 chmod 644 812e17de.0 6107e209.0 74f0e817.0 7a869ab8.0
Zeile 82: Zeile 74:
 Achten Sie darauf, dass im Zieldateinamen der "ln -s"-Anweisung der Hexadezimalwert vor ".0" der Wert ist, der von der "openssl x509"-Anweisung als Hashwert ausgegeben wurde. Mit älteren Versionen des Programmes OpenSSL erhalten Sie evtl. andere Hash-Werte. Achten Sie darauf, dass im Zieldateinamen der "ln -s"-Anweisung der Hexadezimalwert vor ".0" der Wert ist, der von der "openssl x509"-Anweisung als Hashwert ausgegeben wurde. Mit älteren Versionen des Programmes OpenSSL erhalten Sie evtl. andere Hash-Werte.
  
-Hier sind die aktuellen Werte vom 01.08.2012 angegeben. Die Werte können sich ändern, wenn die Zertifikate einmal erneuert werden.+Hier sind die Werte vom 21.04.2021 angegeben. Für erneuerte Zertifikate ändern sich die Hashwerte natürlich
  
  
Zeile 126: Zeile 118:
 ===== Debian und Derivate ===== ===== Debian und Derivate =====
 Das Verzeichnis /usr/local/share/ca-certificates wird angelegt, falls noch nicht vorhanden. Das Verzeichnis /usr/local/share/ca-certificates wird angelegt, falls noch nicht vorhanden.
-Die oben erzeugten *.pem-Dateien werden dorthin kopiert.+Die oben erzeugten *.pem-Dateien werden dorthin kopiert, erhalten aber die Endung "*.crt".
  
 Mit Mit
Zeile 158: Zeile 150:
 Mit Mit
 <file bash show-certificates-fingerprints.sh> <file bash show-certificates-fingerprints.sh>
-openssl x509 -noout -fingerprint -in /.../telekom.pem +openssl x509 -noout -fingerprint -in /.../dfn-rootcert.pem 
-openssl x509 -noout -fingerprint -in /.../dfn.pem +openssl x509 -noout -fingerprint -in /.../dfn-intermediatecert.pem 
-openssl x509 -noout -fingerprint -in /.../fhs-ca.pem+openssl x509 -noout -fingerprint -in /.../dfn-cacert.pem
 openssl x509 -noout -fingerprint -in /.../iukca3.pem openssl x509 -noout -fingerprint -in /.../iukca3.pem
 </file> </file>
Zeile 171: Zeile 163:
 <file bash import-certificates-to-keystore.sh> <file bash import-certificates-to-keystore.sh>
 cp /usr/local/jre1.7.0_51/lib/security/cacerts /usr/local/jre1.7.0_51/lib/security/cacerts.backup cp /usr/local/jre1.7.0_51/lib/security/cacerts /usr/local/jre1.7.0_51/lib/security/cacerts.backup
-keytool -import -trustcacerts -alias dfnpkica -file /etc/pki/tls/certs/dfn.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts +keytool -import -trustcacerts -alias dfnroot -file /etc/pki/tls/certs/dfn-rootcert.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts 
-keytool -import -trustcacerts -alias fhsca -file /etc/pki/tls/certs/fhs-ca.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts +keytool -import -trustcacerts -alias dfnintermediate -file /etc/pki/tls/certs/dfn-intermediatecert.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts 
-keytool -import -trustcacerts -alias iukca3 -file /etc/pki/tls/certs/iukca3.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts+keytool -import -trustcacerts -alias dfnca -file /etc/pki/tls/certs/dfn-cacert.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts 
 +keytool -import -trustcacerts -alias hsmiukca3 -file /etc/pki/tls/certs/iukca3.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts
 </file> </file>
 werden die Zertifikate in den Java-Keystore importiert (JRE 1.7.0.51). werden die Zertifikate in den Java-Keystore importiert (JRE 1.7.0.51).
zertifikate.txt · Zuletzt geändert: 2021/04/21 14:54 von 3023