Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- zertifikate [2021/04/21 14:29]
3023 [Übersicht - Wozu dienen die Zertifikate]
+++ zertifikate [2021/04/21 14:54]
3023 [benötigte Zertifikate]
@@ Zeile 14: / Zeile 14: @@
 Aus Kosten- und Aufwandsgründen verwenden einige Dienste der HSM selbst-signierte Zertifikate. Daher ist es sinnvoll, die CA-Zertifikate der HSM und die zugehörige CA-Kette zu importieren.
-====== benötigte Zertifikate ======
+====== Benötigte Zertifikate ======
- Hier finden Sie Zertifikate "Zertifikat der Deutschen Telekom Root CA 2", "Zertifikat der DFN-PKI DFN-Verein PCA Global G01" und Zertifikat der Fachhochschule Schmalkalden CA 1".
+Auf der [[https://pki.pca.dfn.de/dfn-ca-global-g2/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2&RA_ID=1610|DFN-Webseite für Zertifikate]] finden Sie das Wurzelzertifikat, das DFN-PCA-Zertifikat und das DFN-CA Global G2 Zertifikat.
+Klicken Sie jeden der drei Links mit der rechten Maustaste an, wählen Sie im Kontextmenü "Ziel speichern unter..." und speichern Sie die Zertifikate mit den korrigierten Dateinamen "dfn-rootcert.crt", "dfn-intermediatecacert.crt" und "dfn-cacert.crt" ab. Sie können sich auch die Zertifikatskette als PEM-Datei herunterladen.
-Laden Sie alle drei Zertifikate herunter und speichern Sie sie im Verzeichnis C:\Temp (Windows) bzw. /tmp (Linux,Unix).
-DFN-Verein PCA Global G01: [[https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/intermediatecacert.crt|intermediatecacert.crt]]
-Deutsche Telekom Root CA 2: [[https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/rootcert.crt|rootcert.crt]]
-Fachhochschule Schmalkalden CA 1: [[https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/cacert.crt|cacert.crt]]
 Zusätzlich wird das [[http://rz.fh-schmalkalden.de/iukca3.crt|CA-Zertifikat]] für hochschulinterne Dienste benötigt. Speichern Sie auch iukca3.crt in C:\Temp bzw. /tmp ab.
-Die Zertifikatskette können Sie hier laden: [[https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/chain.txt]]
 ====== Zertifikate installieren unter Windows ======
@@ Zeile 44: / Zeile 36: @@
   * Unter Windows 7 ist das Zertifikat "Deutsche Telekom Root CA 2" bereits vorhanden. Falls es unter anderen Windows-Versionen noch nicht vorhanden ist, muss es mit hinzugefügt werden.\\ {{vpn:certs-sc08.png}}
   * Zertifikate hinzufügen in folgender Reihenfolge:
-    * Deutsche Telekom Root CA 2, telekom.crt (nur falls noch nicht vorhanden)
+    * Deutsche Telekom Root CA 2, dfn-rootcert.crt (nur falls noch nicht vorhanden)
-    * DFN-Verein PCA Global G01, dfn.crt
+    * DFN-Verein PCA Global G01, dfn-intermediatecert.crt
-    * Fachhochschule Schmalkalden CA 1, cacert.crt
+    * DFN-Verein CA CA 1, dfn-cacert.crt
     * RZ CA 3, iukca3.crt
-  * Vorgehensweise (hier gezeigt für dfn.crt):
+  * Vorgehensweise (hier gezeigt für dfn-cacert.crt):
     * Im Menü "Aktion", "Alle Aufgaben", "Importieren..." wählen.\\ {{vpn:certs-sc09.png}}
     * Auf der Willkommensseite des Assistenten "Weiter >" klicken.\\ {{vpn:certs-sc10.png}}
-    * Auf der "Zu importierende Datei"-Seite den Button "Durchsuchen" klicken, in der Dateiauswahl-Dialogbox die Datei c:\temp\dfn.crt suchen und markieren und mit "Öffnen" bzw. "OK" bestätigen.\\ {{vpn:certs-sc11.png}}\\ {{vpn:certs-sc12.png}}
+    * Auf der "Zu importierende Datei"-Seite den Button "Durchsuchen" klicken, in der Dateiauswahl-Dialogbox die Datei c:\temp\dfn-cacert.crt suchen und markieren und mit "Öffnen" bzw. "OK" bestätigen. Hinweis: Das Bild mit dem Dateinamen ist älter und zeigt eine vorherige Version des Dateinamens\\ {{vpn:certs-sc11.png}}\\ {{vpn:certs-sc12.png}}
     * Auf der "Zu importierende Datei"-Seite ist jetzt die gewünschte Datei sichtbar, mit "Weiter >" bestätigen.\\ {{vpn:certs-sc13.png}}
     * Auf der "Zertifikatsspeicher"-Seite wird die Standardeinstellung "Vertrauenswürdige Stammzertifizierungsstellen" beibehalten und mit "Weiter >" bestätigt.\\ {{vpn:certs-sc14.png}}
@@ Zeile 66: / Zeile 58: @@
 <file bash certcyg.sh>
 cd /usr/ssl/certs
-cp /cygdrive/c/temp/telekom.crt telekom.crt
+cp /cygdrive/c/temp/dfn-rootcert.crt dfn-rootcert.crt
-cp /cygdrive/c/temp/dfn.crt dfn.crt
+cp /cygdrive/c/temp/dfn-intermediatecert.crt dfn-intermediatecert.crt
-cp /cygdrive/c/temp/cacert.crt fhs-ca.crt
+cp /cygdrive/c/temp/dfn-cacert.crt dfn-cacert.crt
 cp /cygdrive/c/temp/iukca3.crt iuk3ca.crt
-openssl x509 -subject_hash -noout -in telekom.crt
+openssl x509 -subject_hash -noout -inform der -in dfn-rootcert.crt
-openssl x509 -subject_hash -noout -in dfn.crt
+openssl x509 -subject_hash -noout -inform der -in dfn-intermediatecert.crt
-openssl x509 -subject_hash -noout -in fhs-ca.crt
+openssl x509 -subject_hash -noout -inform der -in dfn-cacert.crt
 openssl x509 -subject_hash -noout -in iukca3.crt
-ln -s telekom.crt 812e17de.0
+ln -s dfn-rootcert.crt 1e09d511.0
-ln -s dfn.crt 6107e209.0
+ln -s dfn-intermediatecert.crt 8dcb65b2.0
-ln -s fhs-ca.crt 74f0e817.0
+ln -s dfn-cacert.crt 6ab64010.0
 ln -s iukca3.crt 7a869ab8.0
 chmod 644 812e17de.0 6107e209.0 74f0e817.0 7a869ab8.0
@@ Zeile 82: / Zeile 74: @@
 Achten Sie darauf, dass im Zieldateinamen der "ln -s"-Anweisung der Hexadezimalwert vor ".0" der Wert ist, der von der "openssl x509"-Anweisung als Hashwert ausgegeben wurde. Mit älteren Versionen des Programmes OpenSSL erhalten Sie evtl. andere Hash-Werte.
-Hier sind die aktuellen Werte vom 01.08.2012 angegeben. Die Werte können sich ändern, wenn die Zertifikate einmal erneuert werden.
+Hier sind die Werte vom 21.04.2021 angegeben. Für erneuerte Zertifikate ändern sich die Hashwerte natürlich
@@ Zeile 126: / Zeile 118: @@
 ===== Debian und Derivate =====
 Das Verzeichnis /usr/local/share/ca-certificates wird angelegt, falls noch nicht vorhanden.
-Die oben erzeugten *.pem-Dateien werden dorthin kopiert.
+Die oben erzeugten *.pem-Dateien werden dorthin kopiert, erhalten aber die Endung "*.crt".
 Mit
@@ Zeile 158: / Zeile 150: @@
 Mit
 <file bash show-certificates-fingerprints.sh>
-openssl x509 -noout -fingerprint -in /.../telekom.pem
+openssl x509 -noout -fingerprint -in /.../dfn-rootcert.pem
-openssl x509 -noout -fingerprint -in /.../dfn.pem
+openssl x509 -noout -fingerprint -in /.../dfn-intermediatecert.pem
-openssl x509 -noout -fingerprint -in /.../fhs-ca.pem
+openssl x509 -noout -fingerprint -in /.../dfn-cacert.pem
 openssl x509 -noout -fingerprint -in /.../iukca3.pem
 </file>
@@ Zeile 171: / Zeile 163: @@
 <file bash import-certificates-to-keystore.sh>
 cp /usr/local/jre1.7.0_51/lib/security/cacerts /usr/local/jre1.7.0_51/lib/security/cacerts.backup
-keytool -import -trustcacerts -alias dfnpkica -file /etc/pki/tls/certs/dfn.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts
+keytool -import -trustcacerts -alias dfnroot -file /etc/pki/tls/certs/dfn-rootcert.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts
-keytool -import -trustcacerts -alias fhsca -file /etc/pki/tls/certs/fhs-ca.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts
+keytool -import -trustcacerts -alias dfnintermediate -file /etc/pki/tls/certs/dfn-intermediatecert.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts
-keytool -import -trustcacerts -alias iukca3 -file /etc/pki/tls/certs/iukca3.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts
+keytool -import -trustcacerts -alias dfnca -file /etc/pki/tls/certs/dfn-cacert.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts
+keytool -import -trustcacerts -alias hsmiukca3 -file /etc/pki/tls/certs/iukca3.crt -keystore /usr/local/jre1.7.0_51/lib/security/cacerts
 </file>
 werden die Zertifikate in den Java-Keystore importiert (JRE 1.7.0.51).

Wiki Rechenzentrum Hochschule Schmalkalden

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge