Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
zertifikate [2021/04/21 14:29] 3023 [Übersicht - Wozu dienen die Zertifikate] |
zertifikate [2021/04/21 14:54] 3023 [benötigte Zertifikate] |
||
---|---|---|---|
Zeile 14: | Zeile 14: | ||
Aus Kosten- und Aufwandsgründen verwenden einige Dienste der HSM selbst-signierte Zertifikate. Daher ist es sinnvoll, die CA-Zertifikate der HSM und die zugehörige CA-Kette zu importieren. | Aus Kosten- und Aufwandsgründen verwenden einige Dienste der HSM selbst-signierte Zertifikate. Daher ist es sinnvoll, die CA-Zertifikate der HSM und die zugehörige CA-Kette zu importieren. | ||
- | ====== | + | ====== |
- | Hier finden Sie Zertifikate " | + | Auf der [[https:// |
- | + | Klicken Sie jeden der drei Links mit der rechten Maustaste an, wählen Sie im Kontextmenü "Ziel speichern unter..." und speichern Sie die Zertifikate mit den korrigierten Dateinamen "dfn-rootcert.crt", " | |
- | Laden Sie alle drei Zertifikate herunter und speichern Sie sie im Verzeichnis C:\Temp (Windows) bzw. /tmp (Linux, | + | |
- | + | ||
- | DFN-Verein PCA Global G01: [[https:// | + | |
- | + | ||
- | Deutsche Telekom Root CA 2: [[https:// | + | |
- | + | ||
- | Fachhochschule Schmalkalden CA 1: [[https:// | + | |
Zusätzlich wird das [[http:// | Zusätzlich wird das [[http:// | ||
- | Die Zertifikatskette können Sie hier laden: [[https:// | ||
====== Zertifikate installieren unter Windows ====== | ====== Zertifikate installieren unter Windows ====== | ||
Zeile 44: | Zeile 36: | ||
* Unter Windows 7 ist das Zertifikat " | * Unter Windows 7 ist das Zertifikat " | ||
* Zertifikate hinzufügen in folgender Reihenfolge: | * Zertifikate hinzufügen in folgender Reihenfolge: | ||
- | * Deutsche Telekom Root CA 2, telekom.crt (nur falls noch nicht vorhanden) | + | * Deutsche Telekom Root CA 2, dfn-rootcert.crt (nur falls noch nicht vorhanden) |
- | * DFN-Verein PCA Global G01, dfn.crt | + | * DFN-Verein PCA Global G01, dfn-intermediatecert.crt |
- | * Fachhochschule Schmalkalden | + | * DFN-Verein CA CA 1, dfn-cacert.crt |
* RZ CA 3, iukca3.crt | * RZ CA 3, iukca3.crt | ||
- | * Vorgehensweise (hier gezeigt für dfn.crt): | + | * Vorgehensweise (hier gezeigt für dfn-cacert.crt): |
* Im Menü " | * Im Menü " | ||
* Auf der Willkommensseite des Assistenten " | * Auf der Willkommensseite des Assistenten " | ||
- | * Auf der "Zu importierende Datei" | + | * Auf der "Zu importierende Datei" |
* Auf der "Zu importierende Datei" | * Auf der "Zu importierende Datei" | ||
* Auf der " | * Auf der " | ||
Zeile 66: | Zeile 58: | ||
<file bash certcyg.sh> | <file bash certcyg.sh> | ||
cd / | cd / | ||
- | cp / | + | cp / |
- | cp / | + | cp / |
- | cp / | + | cp / |
cp / | cp / | ||
- | openssl x509 -subject_hash -noout -in telekom.crt | + | openssl x509 -subject_hash -noout |
- | openssl x509 -subject_hash -noout -in dfn.crt | + | openssl x509 -subject_hash -noout |
- | openssl x509 -subject_hash -noout -in fhs-ca.crt | + | openssl x509 -subject_hash -noout |
openssl x509 -subject_hash -noout -in iukca3.crt | openssl x509 -subject_hash -noout -in iukca3.crt | ||
- | ln -s telekom.crt 812e17de.0 | + | ln -s dfn-rootcert.crt 1e09d511.0 |
- | ln -s dfn.crt | + | ln -s dfn-intermediatecert.crt 8dcb65b2.0 |
- | ln -s fhs-ca.crt 74f0e817.0 | + | ln -s dfn-cacert.crt 6ab64010.0 |
ln -s iukca3.crt 7a869ab8.0 | ln -s iukca3.crt 7a869ab8.0 | ||
chmod 644 812e17de.0 6107e209.0 74f0e817.0 7a869ab8.0 | chmod 644 812e17de.0 6107e209.0 74f0e817.0 7a869ab8.0 | ||
Zeile 82: | Zeile 74: | ||
Achten Sie darauf, dass im Zieldateinamen der "ln -s" | Achten Sie darauf, dass im Zieldateinamen der "ln -s" | ||
- | Hier sind die aktuellen | + | Hier sind die Werte vom 21.04.2021 angegeben. |
Zeile 126: | Zeile 118: | ||
===== Debian und Derivate ===== | ===== Debian und Derivate ===== | ||
Das Verzeichnis / | Das Verzeichnis / | ||
- | Die oben erzeugten *.pem-Dateien werden dorthin kopiert. | + | Die oben erzeugten *.pem-Dateien werden dorthin kopiert, erhalten aber die Endung " |
Mit | Mit | ||
Zeile 158: | Zeile 150: | ||
Mit | Mit | ||
<file bash show-certificates-fingerprints.sh> | <file bash show-certificates-fingerprints.sh> | ||
- | openssl x509 -noout -fingerprint -in /.../telekom.pem | + | openssl x509 -noout -fingerprint -in /.../dfn-rootcert.pem |
- | openssl x509 -noout -fingerprint -in / | + | openssl x509 -noout -fingerprint -in /.../dfn-intermediatecert.pem |
- | openssl x509 -noout -fingerprint -in /.../fhs-ca.pem | + | openssl x509 -noout -fingerprint -in /.../dfn-cacert.pem |
openssl x509 -noout -fingerprint -in / | openssl x509 -noout -fingerprint -in / | ||
</ | </ | ||
Zeile 171: | Zeile 163: | ||
<file bash import-certificates-to-keystore.sh> | <file bash import-certificates-to-keystore.sh> | ||
cp / | cp / | ||
- | keytool -import -trustcacerts -alias | + | keytool -import -trustcacerts -alias |
- | keytool -import -trustcacerts -alias | + | keytool -import -trustcacerts -alias |
- | keytool -import -trustcacerts -alias | + | keytool -import -trustcacerts -alias dfnca -file / |
+ | keytool -import -trustcacerts -alias | ||
</ | </ | ||
werden die Zertifikate in den Java-Keystore importiert (JRE 1.7.0.51). | werden die Zertifikate in den Java-Keystore importiert (JRE 1.7.0.51). |