Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
vertrauenswürdige Zertifikate
1 view
Skip to first unread message
Helmut Pohl
Jan 15, 2024, 4:09:24 AM1/15/24
to
Hallo Zusammen,
ich habe mehrere virtuelle eisfair-PC's, aber auch reale PC's mit
Zertifikaten, die ich mit dem Paket CERTS erstellt habe, ausgestattet.
Alle Zertifikate wurden auf einer internen CA-VM erstellt und sind mit
dem CA dieser CA-VM signiert. Die Zertifikate und auch das CA-Zertifikat
sind mit (sha384) (2048bits) erstellt.
Der Browser Firefox z.B. erkennt allerdings ein Sicherheitsproblem und
sagt: "Die Verbindung ist nicht sicher" Man kann zwar eine
"Sicherheitsausnahme für die Website" erstellen, aber die Einstufung,
"diese Website ist nicht sicher" bleibt.
Diesbezüglich habe ich die Fragen,
wie kann man ein Zertifikat erstellen, das für Firefox kein
Sicherheitsproblem darstellt?
Ist dies überhaupt möglich?
Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
Kann mir Jemand einen Tipp geben?
Gruß,
Helmut
ich habe mehrere virtuelle eisfair-PC's, aber auch reale PC's mit
Zertifikaten, die ich mit dem Paket CERTS erstellt habe, ausgestattet.
Alle Zertifikate wurden auf einer internen CA-VM erstellt und sind mit
dem CA dieser CA-VM signiert. Die Zertifikate und auch das CA-Zertifikat
sind mit (sha384) (2048bits) erstellt.
Der Browser Firefox z.B. erkennt allerdings ein Sicherheitsproblem und
sagt: "Die Verbindung ist nicht sicher" Man kann zwar eine
"Sicherheitsausnahme für die Website" erstellen, aber die Einstufung,
"diese Website ist nicht sicher" bleibt.
Diesbezüglich habe ich die Fragen,
wie kann man ein Zertifikat erstellen, das für Firefox kein
Sicherheitsproblem darstellt?
Ist dies überhaupt möglich?
Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
Kann mir Jemand einen Tipp geben?
Gruß,
Helmut
Marcus Röckrath
Jan 15, 2024, 4:30:03 AM1/15/24
to
Hallo Helmut,
Helmut Pohl wrote:
> ich habe mehrere virtuelle eisfair-PC's, aber auch reale PC's mit
> Zertifikaten, die ich mit dem Paket CERTS erstellt habe, ausgestattet.
> Alle Zertifikate wurden auf einer internen CA-VM erstellt und sind mit
> dem CA dieser CA-VM signiert. Die Zertifikate und auch das CA-Zertifikat
> sind mit (sha384) (2048bits) erstellt.
>
> Der Browser Firefox z.B. erkennt allerdings ein Sicherheitsproblem und
> sagt: "Die Verbindung ist nicht sicher" Man kann zwar eine
> "Sicherheitsausnahme für die Website" erstellen, aber die Einstufung,
> "diese Website ist nicht sicher" bleibt.
>
> Diesbezüglich habe ich die Fragen,
> wie kann man ein Zertifikat erstellen, das für Firefox kein
> Sicherheitsproblem darstellt?
Hast du das CA-Zertifikat in Firefox importiert?
> Ist dies überhaupt möglich?
Der Firefox muss die Korrektheit der Zertifikatskette bis runter zum
Root-Zertifikat prüfen können. Zur Standard-Zertifikatsausrüstung kann aber
natürlich dein selbst erzeugtes Root-CA nicht gehören, weshalb du es
manuell in den Zertifikatsspeicher importieren musst.
> Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
Keine Ahnung.
--
Gruß Marcus
[eisfair-Team]
Helmut Pohl wrote:
> ich habe mehrere virtuelle eisfair-PC's, aber auch reale PC's mit
> Zertifikaten, die ich mit dem Paket CERTS erstellt habe, ausgestattet.
> Alle Zertifikate wurden auf einer internen CA-VM erstellt und sind mit
> dem CA dieser CA-VM signiert. Die Zertifikate und auch das CA-Zertifikat
> sind mit (sha384) (2048bits) erstellt.
>
> Der Browser Firefox z.B. erkennt allerdings ein Sicherheitsproblem und
> sagt: "Die Verbindung ist nicht sicher" Man kann zwar eine
> "Sicherheitsausnahme für die Website" erstellen, aber die Einstufung,
> "diese Website ist nicht sicher" bleibt.
>
> Diesbezüglich habe ich die Fragen,
> wie kann man ein Zertifikat erstellen, das für Firefox kein
> Sicherheitsproblem darstellt?
> Ist dies überhaupt möglich?
Der Firefox muss die Korrektheit der Zertifikatskette bis runter zum
Root-Zertifikat prüfen können. Zur Standard-Zertifikatsausrüstung kann aber
natürlich dein selbst erzeugtes Root-CA nicht gehören, weshalb du es
manuell in den Zertifikatsspeicher importieren musst.
> Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
--
Gruß Marcus
[eisfair-Team]
Juergen Edner
Jan 15, 2024, 5:39:36 AM1/15/24
to
Hallo Helmut,
>> Der Browser Firefox z.B. erkennt allerdings ein Sicherheitsproblem und
>> sagt: "Die Verbindung ist nicht sicher" Man kann zwar eine
>> "Sicherheitsausnahme für die Website" erstellen, aber die Einstufung,
>> "diese Website ist nicht sicher" bleibt.
>>
>> Diesbezüglich habe ich die Fragen,
>> wie kann man ein Zertifikat erstellen, das für Firefox kein
>> Sicherheitsproblem darstellt?
>
> Hast du das CA-Zertifikat in Firefox importiert?
ich importiere schon seit Jahren mein eigenes Root-Zertifikat auf
diversen Geräten und habe bis dato nicht ein einziges Zertifikat mehr
manuell bestätigen müssen ;-)
>> Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
>
> Keine Ahnung.
Darüber habe ich mir bis dato keine Gedanken gemacht, da in den letzten
20 Jahren nie im privaten Umfeld Bedarf für ein Zwischenzertifikat
benötigt wurde.
Gruß Jürgen
--
Mail: jue...@eisfair.org
>> Der Browser Firefox z.B. erkennt allerdings ein Sicherheitsproblem und
>> sagt: "Die Verbindung ist nicht sicher" Man kann zwar eine
>> "Sicherheitsausnahme für die Website" erstellen, aber die Einstufung,
>> "diese Website ist nicht sicher" bleibt.
>>
>> Diesbezüglich habe ich die Fragen,
>> wie kann man ein Zertifikat erstellen, das für Firefox kein
>> Sicherheitsproblem darstellt?
>
> Hast du das CA-Zertifikat in Firefox importiert?
diversen Geräten und habe bis dato nicht ein einziges Zertifikat mehr
manuell bestätigen müssen ;-)
>> Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
>
> Keine Ahnung.
20 Jahren nie im privaten Umfeld Bedarf für ein Zwischenzertifikat
benötigt wurde.
Gruß Jürgen
--
Mail: jue...@eisfair.org
Helmut Pohl
Jan 15, 2024, 5:56:26 PM1/15/24
to
Hallo Marcus, Hallo Jürgen,
vielen Dank für eure Info's.
Am 15.01.2024 um 10:20 schrieb Marcus Röckrath:
> Hallo Helmut,
>
> Helmut Pohl wrote:
>
>> ich habe mehrere virtuelle eisfair-PC's, aber auch reale PC's mit
>> Zertifikaten, die ich mit dem Paket CERTS erstellt habe, ausgestattet.
>> Alle Zertifikate wurden auf einer internen CA-VM erstellt und sind mit
>> dem CA dieser CA-VM signiert. Die Zertifikate und auch das CA-Zertifikat
>> sind mit (sha384) (2048bits) erstellt.
>>
>> Der Browser Firefox z.B. erkennt allerdings ein Sicherheitsproblem und
>> sagt: "Die Verbindung ist nicht sicher" Man kann zwar eine
>> "Sicherheitsausnahme für die Website" erstellen, aber die Einstufung,
>> "diese Website ist nicht sicher" bleibt.
>>
>> Diesbezüglich habe ich die Fragen,
>> wie kann man ein Zertifikat erstellen, das für Firefox kein
>> Sicherheitsproblem darstellt?
>
> Hast du das CA-Zertifikat in Firefox importiert?
wenn man es direkt in den Browser importiert, dann ist der Firefox
zufrieden. ;-)
>
>> Ist dies überhaupt möglich?
>
> Der Firefox muss die Korrektheit der Zertifikatskette bis runter zum
> Root-Zertifikat prüfen können. Zur Standard-Zertifikatsausrüstung kann aber
> natürlich dein selbst erzeugtes Root-CA nicht gehören, weshalb du es
> manuell in den Zertifikatsspeicher importieren musst.
>
>> Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
>
> Keine Ahnung.
Schade, ich auch nicht. Deshalb hatte ich gefragt. Ist ein interessantes
Thema.
Gruß,
Helmut
vielen Dank für eure Info's.
Am 15.01.2024 um 10:20 schrieb Marcus Röckrath:
> Hallo Helmut,
>
> Helmut Pohl wrote:
>
>> ich habe mehrere virtuelle eisfair-PC's, aber auch reale PC's mit
>> Zertifikaten, die ich mit dem Paket CERTS erstellt habe, ausgestattet.
>> Alle Zertifikate wurden auf einer internen CA-VM erstellt und sind mit
>> dem CA dieser CA-VM signiert. Die Zertifikate und auch das CA-Zertifikat
>> sind mit (sha384) (2048bits) erstellt.
>>
>> Der Browser Firefox z.B. erkennt allerdings ein Sicherheitsproblem und
>> sagt: "Die Verbindung ist nicht sicher" Man kann zwar eine
>> "Sicherheitsausnahme für die Website" erstellen, aber die Einstufung,
>> "diese Website ist nicht sicher" bleibt.
>>
>> Diesbezüglich habe ich die Fragen,
>> wie kann man ein Zertifikat erstellen, das für Firefox kein
>> Sicherheitsproblem darstellt?
>
> Hast du das CA-Zertifikat in Firefox importiert?
zufrieden. ;-)
>
>> Ist dies überhaupt möglich?
>
> Der Firefox muss die Korrektheit der Zertifikatskette bis runter zum
> Root-Zertifikat prüfen können. Zur Standard-Zertifikatsausrüstung kann aber
> natürlich dein selbst erzeugtes Root-CA nicht gehören, weshalb du es
> manuell in den Zertifikatsspeicher importieren musst.
>
>> Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
>
> Keine Ahnung.
Thema.
Gruß,
Helmut
Alexander Bahlo
Jan 15, 2024, 7:14:10 PM1/15/24
to
Hallo Helmut,
Am Mon, 15 Jan 2024 10:09:20 +0100
schrieb Helmut Pohl <helmu...@arcor.de>:
> Diesbezüglich habe ich die Fragen,
> wie kann man ein Zertifikat erstellen, das für Firefox kein
> Sicherheitsproblem darstellt?
Antworten zum Importieren des Zertifikats hast du ja schon bekommen. Man
kann das weiter treiben und ein Root-Zertifikat für eine eigene CA
erstellen, dann bei Bedarf ein weiteres Zwischenzertifikat und dann die
Zertifikate. Die CA und/oder das Zwischenzertifikat kann man dann in den
Truststore einfügen und infolge werden die Zertifikate automatisch als
vertrauenswürdig eingestuft. Der Aufwand ist aber schon beträchtlich, für
jeden Browser, der einen anderen Truststore verwendet, muss man die
Prozedur wiederholen und so endlos gültig sind Root-Zertifikate auch nicht
mehr, wie das früher einmal der Fall gewesen ist.
> Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
Beispielsweise mit OpenSSL. Tipps welche Befehle dazu vonnöten sind,
ergeben sich per Suchmaschine und Suchwörtern wie "openssl root
zertifikat" (ich habe der Einfachheit halber erst mal nur nach
Zertifikaten für eine Root-CA gesucht). Damit gibt es Hinweise u.a. auf
"openssl ca" und "openssl req" und dergleichen. Du musst dann aber jedes
davon abhängige, also unter dieser CA erstellte Zertifikat mit
wahrscheinlich openssl ca Kommandos signieren. Rate ich wegen dem
Aufwand von ab. Hilft ja auch nicht anderen Webseitenbesuchern und für
einen selbst reicht der reine Einzelzertifikatsimport im Browser
eigentlich aus.
Falls nicht: Kaufzertifikate kaufen oder zB kostenlose Anbieter wie CAcert
(www.cacert.org) verwenden. Ich glaube, CAcert ist bei einigen
Linux-Distributionen im Paket cacerts enthalten, ist aber dennoch nicht
einfach so aktiviert, sondern das muss jeder Nutzer selbst machen, so
dass trotzdem eine entsprechende Warnmeldung kommt. CAcert hat den
Vorteil, dass man anderen Leuten glaubhaft machen kann, dass der
Zertifikatsinhaber gut überprüft wurde, wenn er ein reguläres Zertifikat
vorweisen kann und den Nachteil, dass man sich erstmal erklären muss,
wenn man dieses Zertifikat im Webserver öffentlich für andere benutzt.
Gruß, Alexander.
--
Q: What do agnostic, insomniac dyslexics do at night?
A: Stay awake and wonder if there's a dog.
Am Mon, 15 Jan 2024 10:09:20 +0100
schrieb Helmut Pohl <helmu...@arcor.de>:
> Diesbezüglich habe ich die Fragen,
> wie kann man ein Zertifikat erstellen, das für Firefox kein
> Sicherheitsproblem darstellt?
kann das weiter treiben und ein Root-Zertifikat für eine eigene CA
erstellen, dann bei Bedarf ein weiteres Zwischenzertifikat und dann die
Zertifikate. Die CA und/oder das Zwischenzertifikat kann man dann in den
Truststore einfügen und infolge werden die Zertifikate automatisch als
vertrauenswürdig eingestuft. Der Aufwand ist aber schon beträchtlich, für
jeden Browser, der einen anderen Truststore verwendet, muss man die
Prozedur wiederholen und so endlos gültig sind Root-Zertifikate auch nicht
mehr, wie das früher einmal der Fall gewesen ist.
> Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
ergeben sich per Suchmaschine und Suchwörtern wie "openssl root
zertifikat" (ich habe der Einfachheit halber erst mal nur nach
Zertifikaten für eine Root-CA gesucht). Damit gibt es Hinweise u.a. auf
"openssl ca" und "openssl req" und dergleichen. Du musst dann aber jedes
davon abhängige, also unter dieser CA erstellte Zertifikat mit
wahrscheinlich openssl ca Kommandos signieren. Rate ich wegen dem
Aufwand von ab. Hilft ja auch nicht anderen Webseitenbesuchern und für
einen selbst reicht der reine Einzelzertifikatsimport im Browser
eigentlich aus.
Falls nicht: Kaufzertifikate kaufen oder zB kostenlose Anbieter wie CAcert
(www.cacert.org) verwenden. Ich glaube, CAcert ist bei einigen
Linux-Distributionen im Paket cacerts enthalten, ist aber dennoch nicht
einfach so aktiviert, sondern das muss jeder Nutzer selbst machen, so
dass trotzdem eine entsprechende Warnmeldung kommt. CAcert hat den
Vorteil, dass man anderen Leuten glaubhaft machen kann, dass der
Zertifikatsinhaber gut überprüft wurde, wenn er ein reguläres Zertifikat
vorweisen kann und den Nachteil, dass man sich erstmal erklären muss,
wenn man dieses Zertifikat im Webserver öffentlich für andere benutzt.
Gruß, Alexander.
--
Q: What do agnostic, insomniac dyslexics do at night?
A: Stay awake and wonder if there's a dog.
Marcus Röckrath
Jan 16, 2024, 1:50:03 AM1/16/24
to
Hallo Alexander,
Alexander Bahlo wrote:
>> Diesbezüglich habe ich die Fragen,
>> wie kann man ein Zertifikat erstellen, das für Firefox kein
>> Sicherheitsproblem darstellt?
>
> Antworten zum Importieren des Zertifikats hast du ja schon bekommen. Man
> kann das weiter treiben und ein Root-Zertifikat für eine eigene CA
> erstellen,
Das haben Jürgen und ich eigentlich vorgeschlagen. Es geht aber natürlich
auch, das Zertifikat selbst in Firefox dauerhaft bekannt zu machen.
> DerAufwand ist aber schon beträchtlich, für
selbst in der Hand. :-)
Ich frage mich allerdings, wofür überhaupt den Aufwand mit einem
selbsterstellten selbstsignierten Zertifikat.
Im lokalen Netz kommt man gegebenenfalls auch mit http statt https aus und
bei Öffnung eines Webservers nach außen würde ich da dann schon eher auf
ein letsencrypt-Zertifikat setzen.
--
Gruß Marcus
[eisfair-Team]
Alexander Bahlo wrote:
>> Diesbezüglich habe ich die Fragen,
>> wie kann man ein Zertifikat erstellen, das für Firefox kein
>> Sicherheitsproblem darstellt?
>
> Antworten zum Importieren des Zertifikats hast du ja schon bekommen. Man
> kann das weiter treiben und ein Root-Zertifikat für eine eigene CA
> erstellen,
auch, das Zertifikat selbst in Firefox dauerhaft bekannt zu machen.
> DerAufwand ist aber schon beträchtlich, für
> jeden Browser, der einen anderen Truststore verwendet, muss man die
> Prozedur wiederholen und so endlos gültig sind Root-Zertifikate auch nicht
> mehr, wie das früher einmal der Fall gewesen ist.
Die Gültigkeit des Zertifikates und des CA-Root-Zertifikates hat er ja
> Prozedur wiederholen und so endlos gültig sind Root-Zertifikate auch nicht
> mehr, wie das früher einmal der Fall gewesen ist.
selbst in der Hand. :-)
Ich frage mich allerdings, wofür überhaupt den Aufwand mit einem
selbsterstellten selbstsignierten Zertifikat.
Im lokalen Netz kommt man gegebenenfalls auch mit http statt https aus und
bei Öffnung eines Webservers nach außen würde ich da dann schon eher auf
ein letsencrypt-Zertifikat setzen.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
Jan 16, 2024, 1:50:05 AM1/16/24
to
Hallo Helmut,
Helmut Pohl wrote:
>> Hast du das CA-Zertifikat in Firefox importiert?
>
> wenn man es direkt in den Browser importiert, dann ist der Firefox
> zufrieden. ;-)
Oder so.
Helmut Pohl wrote:
>> Hast du das CA-Zertifikat in Firefox importiert?
>
> wenn man es direkt in den Browser importiert, dann ist der Firefox
> zufrieden. ;-)
>>> Wie erstellt man ein zusätzliches CA-Zwischenzertifikat?
>>
>> Keine Ahnung.
>
> Schade, ich auch nicht. Deshalb hatte ich gefragt. Ist ein interessantes
> Thema.
noch Zwischenzertifikate zwischenschieben sollte?
--
Gruß Marcus
[eisfair-Team]
Detlef Paschke
Jan 16, 2024, 4:37:37 AM1/16/24
to
Am 16.01.2024 um 07:40 schrieb Marcus Röckrath:
Hallo Marcus,
> Ich frage mich allerdings, wofür überhaupt den Aufwand mit einem
> selbsterstellten selbstsignierten Zertifikat.
es gibt immer wieder mal Geräte, z.B IP-Kameras, die mittlerweile auf
einen Webzugriff per https bestehen. Oder die neue APC Software
PowerChute Serial Shutdown ist auch so ein Kandidat. Das vom Hersteller
drauf geprügelte Selbst signierte Zertifikat tauscht man dann gegen ein
eigenes (lokal gültiges) aus und schon ist alles schön.
> Im lokalen Netz kommt man gegebenenfalls auch mit http statt https aus und
> bei Öffnung eines Webservers nach außen würde ich da dann schon eher auf
> ein letsencrypt-Zertifikat setzen.
Ich habe bei mir mittlerweile alles auf sichere Verbindungen umgestellt
um nicht soviel durcheinander zu haben. Bevor ich jetzt ein Haufen
Ausnahmen mache, habe ich für das lokale Netz ein eigenes CA (welches
den Clients bekannt gemacht wird) und entsprechende Serverzertifikate
auf den Diensten und Geräten. Von außen (schabau.eu) greift das Let's
Encrypt Zertifikat und wenn aus dem lokalen Netz zugegriffen wird, (z.B
mail.home.lan) greift mein eigenes Zertifikat.
Ich verwende übrigens zum erstellen und verwalten meiner Zertifikate nur
noch XCA. https://hohnstaedt.de/xca/
Die ganze Zertifikatsgeschichte habe ich damit überhaupt erst so
halbwegs begriffen. Vor Eisfair certs habe ich dazumal oft gesessen wie
der Ochs vor dem Berg.
Viele Grüße
Detlef Paschke
--
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu
Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu
Hallo Marcus,
> Ich frage mich allerdings, wofür überhaupt den Aufwand mit einem
> selbsterstellten selbstsignierten Zertifikat.
einen Webzugriff per https bestehen. Oder die neue APC Software
PowerChute Serial Shutdown ist auch so ein Kandidat. Das vom Hersteller
drauf geprügelte Selbst signierte Zertifikat tauscht man dann gegen ein
eigenes (lokal gültiges) aus und schon ist alles schön.
> Im lokalen Netz kommt man gegebenenfalls auch mit http statt https aus und
> bei Öffnung eines Webservers nach außen würde ich da dann schon eher auf
> ein letsencrypt-Zertifikat setzen.
um nicht soviel durcheinander zu haben. Bevor ich jetzt ein Haufen
Ausnahmen mache, habe ich für das lokale Netz ein eigenes CA (welches
den Clients bekannt gemacht wird) und entsprechende Serverzertifikate
auf den Diensten und Geräten. Von außen (schabau.eu) greift das Let's
Encrypt Zertifikat und wenn aus dem lokalen Netz zugegriffen wird, (z.B
mail.home.lan) greift mein eigenes Zertifikat.
Ich verwende übrigens zum erstellen und verwalten meiner Zertifikate nur
noch XCA. https://hohnstaedt.de/xca/
Die ganze Zertifikatsgeschichte habe ich damit überhaupt erst so
halbwegs begriffen. Vor Eisfair certs habe ich dazumal oft gesessen wie
der Ochs vor dem Berg.
Viele Grüße
Detlef Paschke
--
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu
Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu
0 new messages