Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
zertifikate [2014/09/22 15:19] 2007 [benötigte Zertifikate] |
zertifikate [2021/04/21 14:54] (aktuell) 3023 [benötigte Zertifikate] |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | FIXME die Links und die Namen der Zertifikate wurden geändert, bitte Doku anpassen | ||
+ | |||
====== Übersicht - Wozu dienen die Zertifikate ====== | ====== Übersicht - Wozu dienen die Zertifikate ====== | ||
- | Wenn Ihr PC eine verschlüsselte Verbindung über SSL bzw. TLS zu einem Server der Hochschule herstellt, überprüft Ihr PC, ob die Verbindung wirklich zum korrekten Server hergestellt wurde. Sie wollen schließlich nicht Ihre Zugangsdaten zu FHS-Diensten an irgendjemanden aushändigen, | + | Wenn Ihr PC eine verschlüsselte Verbindung über SSL bzw. TLS zu einem Server der Hochschule herstellt, überprüft Ihr PC, ob die Verbindung wirklich zum korrekten Server hergestellt wurde. Sie wollen schließlich nicht Ihre Zugangsdaten zu HSM-Diensten an irgendjemanden aushändigen, |
Für diese Überprüfung stellt jeder Server-Dienst ein Dienst-Zertifikat bereit. Dieses enthält den öffentlichen Schlüssel (public key) des Dienstes und ist von einer Zertifizierungsstelle (certification authority, CA) unterschrieben (signiert). | Für diese Überprüfung stellt jeder Server-Dienst ein Dienst-Zertifikat bereit. Dieses enthält den öffentlichen Schlüssel (public key) des Dienstes und ist von einer Zertifizierungsstelle (certification authority, CA) unterschrieben (signiert). | ||
Zeile 10: | Zeile 12: | ||
Die Menge der vorkonfigurierten CAs unterscheidet sich, abhängig von der Windows-Version bzw. Linux-Distribution. Daher sind ggf. Anpassungen erforderlich. | Die Menge der vorkonfigurierten CAs unterscheidet sich, abhängig von der Windows-Version bzw. Linux-Distribution. Daher sind ggf. Anpassungen erforderlich. | ||
- | Aus Kosten- und Aufwandsgründen verwenden einige Dienste der FHS selbst-signierte Zertifikate. Daher ist es sinnvoll, die CA-Zertifikate der FHS und die zugehörige CA-Kette zu importieren. | + | Aus Kosten- und Aufwandsgründen verwenden einige Dienste der HSM selbst-signierte Zertifikate. Daher ist es sinnvoll, die CA-Zertifikate der HSM und die zugehörige CA-Kette zu importieren. |
- | ====== | + | ====== |
- | Hier finden Sie Zertifikate " | + | Auf der [[https:// |
- | + | Klicken Sie jeden der drei Links mit der rechten Maustaste an, wählen Sie im Kontextmenü "Ziel speichern unter..." und speichern Sie die Zertifikate mit den korrigierten Dateinamen "dfn-rootcert.crt", " | |
- | Laden Sie alle drei Zertifikate herunter und speichern Sie sie im Verzeichnis C:\Temp (Windows) bzw. /tmp (Linux, | + | |
- | + | ||
- | [[https:// | + | |
- | + | ||
- | [[https:// | + | |
- | + | ||
- | [[https:// | + | |
Zusätzlich wird das [[http:// | Zusätzlich wird das [[http:// | ||
+ | |||
====== Zertifikate installieren unter Windows ====== | ====== Zertifikate installieren unter Windows ====== | ||
Zeile 40: | Zeile 36: | ||
* Unter Windows 7 ist das Zertifikat " | * Unter Windows 7 ist das Zertifikat " | ||
* Zertifikate hinzufügen in folgender Reihenfolge: | * Zertifikate hinzufügen in folgender Reihenfolge: | ||
- | * Deutsche Telekom Root CA 2, telekom.crt (nur falls noch nicht vorhanden) | + | * Deutsche Telekom Root CA 2, dfn-rootcert.crt (nur falls noch nicht vorhanden) |
- | * DFN-Verein PCA Global G01, dfn.crt | + | * DFN-Verein PCA Global G01, dfn-intermediatecert.crt |
- | * Fachhochschule Schmalkalden | + | * DFN-Verein CA CA 1, dfn-cacert.crt |
* RZ CA 3, iukca3.crt | * RZ CA 3, iukca3.crt | ||
- | * Vorgehensweise (hier gezeigt für dfn.crt): | + | * Vorgehensweise (hier gezeigt für dfn-cacert.crt): |
* Im Menü " | * Im Menü " | ||
* Auf der Willkommensseite des Assistenten " | * Auf der Willkommensseite des Assistenten " | ||
- | * Auf der "Zu importierende Datei" | + | * Auf der "Zu importierende Datei" |
* Auf der "Zu importierende Datei" | * Auf der "Zu importierende Datei" | ||
* Auf der " | * Auf der " | ||
Zeile 62: | Zeile 58: | ||
<file bash certcyg.sh> | <file bash certcyg.sh> | ||
cd / | cd / | ||
- | cp / | + | cp / |
- | cp / | + | cp / |
- | cp / | + | cp / |
cp / | cp / | ||
- | openssl x509 -subject_hash -noout -in telekom.crt | + | openssl x509 -subject_hash -noout |
- | openssl x509 -subject_hash -noout -in dfn.crt | + | openssl x509 -subject_hash -noout |
- | openssl x509 -subject_hash -noout -in fhs-ca.crt | + | openssl x509 -subject_hash -noout |
openssl x509 -subject_hash -noout -in iukca3.crt | openssl x509 -subject_hash -noout -in iukca3.crt | ||
- | ln -s telekom.crt 812e17de.0 | + | ln -s dfn-rootcert.crt 1e09d511.0 |
- | ln -s dfn.crt | + | ln -s dfn-intermediatecert.crt 8dcb65b2.0 |
- | ln -s fhs-ca.crt 74f0e817.0 | + | ln -s dfn-cacert.crt 6ab64010.0 |
ln -s iukca3.crt 7a869ab8.0 | ln -s iukca3.crt 7a869ab8.0 | ||
chmod 644 812e17de.0 6107e209.0 74f0e817.0 7a869ab8.0 | chmod 644 812e17de.0 6107e209.0 74f0e817.0 7a869ab8.0 | ||
Zeile 78: | Zeile 74: | ||
Achten Sie darauf, dass im Zieldateinamen der "ln -s" | Achten Sie darauf, dass im Zieldateinamen der "ln -s" | ||
- | Hier sind die aktuellen | + | Hier sind die Werte vom 21.04.2021 angegeben. |
====== Zertifikate installieren unter Linux ====== | ====== Zertifikate installieren unter Linux ====== | ||
- | + | ===== Konvertierung in das PEM-Format ===== | |
- | Unter Linux (hier getestet mit Scientific Linux 6.1, sollte mit CentOS und Fedora Core gleichermaßen funktionieren) kopieren Sie zunächst die Zertifikate nach / | + | Zertifikat-Versionen im PEM-Format |
<file bash certificates.sh> | <file bash certificates.sh> | ||
- | cd / | + | for i in telekom dfn cacert |
- | cp /tmp/telekom.crt telekom.crt | + | do |
- | cp /tmp/dfn.crt dfn.crt | + | openssl x509 -inform DER -in $i.crt -outform PEM $i.pem |
- | cp /tmp/cacert.crt fhs-ca.crt | + | done |
- | cp / | + | cp iukca3.crt |
- | openssl x509 -subject_hash -noout | + | </ |
- | openssl x509 -subject_hash -noout -in dfn.crt | + | erzeugt. |
- | openssl x509 -subject_hash -noout -in fhs-ca.crt | + | |
- | openssl x509 -subject_hash -noout -in iukca3.crt | + | |
- | ln -s telekom.crt 812e17de.0 | + | |
- | ln -s dfn.crt 6107e209.0 | + | |
- | ln -s fhs-ca.crt 74f0e817.0 | + | |
- | ln -s iukca3.crt 7a869ab8.0 | + | |
- | chmod 644 812e17de.0 6107e209.0 74f0e817.0 7a869ab8.0 | + | |
- | cd / | + | ===== RHEL6 und Clones ===== |
- | cp / | + | Mit |
- | cp / | + | <file bash enable-cert-management.sh> |
- | cp / | + | yum install ca-certificates |
- | cp / | + | update-ca-trust force-enable |
- | ln -s telekom.crt 812e17de.0 | + | |
- | ln -s dfn.crt 6107e209.0 | + | |
- | ln -s fhs-ca.crt 74f0e817.0 | + | |
- | ln -s iukca3.crt 7a869ab8.0 | + | |
- | chmod 644 812e17de.0 6107e209.0 74f0e817.0 7a869ab8.0 | + | |
</ | </ | ||
+ | wird das dynamische Zertifikate-Management installiert und aktiviert. | ||
- | Achten Sie darauf, dass im Zieldateinamen der " | + | Das Verzeichnis /etc/pki/ca-trust/ |
+ | Die oben erzeugten *.pem-Dateien werden dorthin kopiert. | ||
- | Hier sind die aktuellen Werte vom 01.08.2012 angegeben, ermittelt unter Scientific Linux 6.1. Die Werte können sich ändern, wenn die Zertifikate einmal erneuert | + | Mit |
+ | < | ||
+ | update-ca-trust | ||
+ | </ | ||
+ | werden | ||
+ | |||
+ | ===== RHEL7 und Clones ===== | ||
+ | Das Verzeichnis / | ||
+ | Die oben erzeugten *.pem-Dateien werden dorthin kopiert. | ||
+ | |||
+ | Mit | ||
+ | < | ||
+ | update-ca-trust | ||
+ | </ | ||
+ | werden die Zertifikate in den systemweiten Zertifikatsbestand übernommen. | ||
+ | |||
+ | ===== Debian und Derivate ===== | ||
+ | Das Verzeichnis / | ||
+ | Die oben erzeugten *.pem-Dateien werden dorthin kopiert, erhalten aber die Endung " | ||
+ | |||
+ | Mit | ||
+ | < | ||
+ | update-ca-certificates | ||
+ | </ | ||
+ | werden | ||
====== Zertifikate installieren für Java ====== | ====== Zertifikate installieren für Java ====== | ||
Zeile 134: | Zeile 144: | ||
werden die Zertifikate im Java-Keystore angezeigt. | werden die Zertifikate im Java-Keystore angezeigt. | ||
Für jedes Zertifikat wird u.a. ein Kurzname (Alias) angezeigt sowie ein Fingerprint. | Für jedes Zertifikat wird u.a. ein Kurzname (Alias) angezeigt sowie ein Fingerprint. | ||
+ | Das Standard-Passwort für Java-Keystores ist " | ||
Wichtig: Verwenden Sie das keytool-Programm der jeweiligen Java-Version! | Wichtig: Verwenden Sie das keytool-Programm der jeweiligen Java-Version! | ||
Zeile 139: | Zeile 150: | ||
Mit | Mit | ||
<file bash show-certificates-fingerprints.sh> | <file bash show-certificates-fingerprints.sh> | ||
- | openssl x509 -noout -fingerprint -in /etc/pki/ | + | openssl x509 -noout -fingerprint -in /.../dfn-rootcert.pem |
- | openssl x509 -noout -fingerprint -in /etc/ | + | openssl x509 -noout -fingerprint -in /.../dfn-intermediatecert.pem |
- | openssl x509 -noout -fingerprint -in /etc/pki/ | + | openssl x509 -noout -fingerprint -in /.../dfn-cacert.pem |
- | openssl x509 -noout -fingerprint -in /etc/ | + | openssl x509 -noout -fingerprint -in /.../iukca3.pem |
</ | </ | ||
- | werden die Fingerprints der an der FHS benötigten Zertifikate angezeigt. | + | werden die Fingerprints der an der FHS benötigten Zertifikate angezeigt |
Ein Abgleich mit der Ausgabe des keytool-Befehles oben zeigt, welche Zertifikate bereits im Keystore enthalten sind und welche noch importiert werden müssen. Für JRE 1.7.0.51 ist das Telekom-Zertifikat bereits enthalten, die restlichen drei müssen noch importiert werden. | Ein Abgleich mit der Ausgabe des keytool-Befehles oben zeigt, welche Zertifikate bereits im Keystore enthalten sind und welche noch importiert werden müssen. Für JRE 1.7.0.51 ist das Telekom-Zertifikat bereits enthalten, die restlichen drei müssen noch importiert werden. | ||
Zeile 152: | Zeile 163: | ||
<file bash import-certificates-to-keystore.sh> | <file bash import-certificates-to-keystore.sh> | ||
cp / | cp / | ||
- | keytool -import -trustcacerts -alias | + | keytool -import -trustcacerts -alias |
- | keytool -import -trustcacerts -alias | + | keytool -import -trustcacerts -alias |
- | keytool -import -trustcacerts -alias | + | keytool -import -trustcacerts -alias dfnca -file / |
+ | keytool -import -trustcacerts -alias | ||
</ | </ | ||
werden die Zertifikate in den Java-Keystore importiert (JRE 1.7.0.51). | werden die Zertifikate in den Java-Keystore importiert (JRE 1.7.0.51). |