Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung
server_und_serverdienste:eigene_ca_bauen_und_zertifikate_ausrollen [2019/02/08 21:16] – [Eigene CA bauen und Zertifikate ausrollen] boospyserver_und_serverdienste:eigene_ca_bauen_und_zertifikate_ausrollen [2019/03/06 21:52] – [Vorbereiten des Servers] boospy
Zeile 4: Zeile 4:
  
 ===== Erstellen der eigenen CA ===== ===== Erstellen der eigenen CA =====
 +Der Vorgang wird von dieser Seite hier beschrieben: https://wiki.ubuntuusers.de/CA/ FIXME
 +
 +
 **Für's erste hier mal einige nützliche OpenSSL-Befehle:** **Für's erste hier mal einige nützliche OpenSSL-Befehle:**
  
Zeile 30: Zeile 33:
 ertutil -d sql:$HOME/.pki/nssdb -A -n '' -i cacert.pem -t TCP,TCP,TCP ertutil -d sql:$HOME/.pki/nssdb -A -n '' -i cacert.pem -t TCP,TCP,TCP
 </code> </code>
 +Alle Zertifiakte des Systems anzeigen:
 +<code>
 +locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}
 +</code>
 +PFX Inhalt anzeigen:
 +<code>
 +openssl pkcs12 -info -in testcert.pfx
 +</code>
 +
 +==== Vorbereiten des Servers ====
 +Wir verwenden hier ein Ubuntu 18.04 als CA Server. Sehr gut eigent sich auch ein LXC-Container oder Docker. Auch kann man die natürlich überall wo es passt dazu installieren. Folgende Pakete sollten installiert sein.
 +<code>
 +apt-get install ca-certificates ca-certificates-java ca-certificates-mono openssl gnutls-bin libnss3-tools 
 +</code>
 +Nun passen wir noch unsere ''/etc/ssl/openssl.cnf'' an. Mit diesem File kann man das meiste komplett automatisieren und vorallem für Google Chrome anpassen. Google Chrome ist der einzige Browser der [[https://support.google.com/chrome/a/answer/7391219?hl=de|spezielle Richtlinien]] für das Zertifikat verwendet. 
 +===== CA global in Ubuntu einspielen =====
 +Das CA ganz einfach unter ''/usr/local/share/ca-certificates/'' ablegen. Mit dem nachfolgenden Befehl wird das Zertifikat in den globalen Zertifikatsspeicher des Systems importiert.
 +<code>
 +update-ca-certificates
 +</code>
 +Alternativ interaktiv: ''dpkg-reconfigure ca-certificates''
 +
 ===== Automatische Installation in Firefox (Linux und Windows) ===== ===== Automatische Installation in Firefox (Linux und Windows) =====
 Folgendes Tool muss in Ubuntu installiert werden. Folgendes Tool muss in Ubuntu installiert werden.
Zeile 66: Zeile 91:
 } }
 </file> </file>
 +Und noch ein Beispiel:
 +<file json policies.json>
 +{
 +   "policies":{
 +      "DisableBuiltinPDFViewer":true,
 +      "Extensions":{
 +         "Install":[
 +            "https://addons.mozilla.org/firefox/downloads/file/1672871/ublock_origin-*.xpi",
 +            "https://addons.mozilla.org/firefox/downloads/file/879506/ip_address_and_domain_information-*.xpi",
 +            "https://addons.mozilla.org/firefox/downloads/file/1205950/keepassxc_browser-*.xpi"
 +         ]
 +      },
 +      "Certificates":{
 +         "ImportEnterpriseRoots":true,
 +         "Install":[
 +            "/usr/local/share/ca-certificates/osit.cc-wildcard-selfsigned-cacert.crt",
 +            "/usr/local/share/ca-certificates/osit.cc-Fortinet_CA_SSL_deepinspection.crt"
 +         ]
 +      }
 +   }
 +}
 +</file>
 +
 Man kann auch Zertifikate in dem Verzeichnis des Benutzers ablegen ''~/.mozilla/certificates''. Diese werden dann ohne den gesamten Pfad unter "Install" vermerkt und auch automatisch installiert. Der globale Zertifikatsordner von Firefox in Ubuntu ''/usr/share/ca-certificates/mozilla'' funktioniert aus unverfindlichen Gründen nicht. Daher die Empfehlung immer den fully qualified path verwenden.  Man kann auch Zertifikate in dem Verzeichnis des Benutzers ablegen ''~/.mozilla/certificates''. Diese werden dann ohne den gesamten Pfad unter "Install" vermerkt und auch automatisch installiert. Der globale Zertifikatsordner von Firefox in Ubuntu ''/usr/share/ca-certificates/mozilla'' funktioniert aus unverfindlichen Gründen nicht. Daher die Empfehlung immer den fully qualified path verwenden. 
  
Zeile 92: Zeile 140:
  
 ===== Fertige Pakete für die Installation der CA am Client (Linux und Windows) ===== ===== Fertige Pakete für die Installation der CA am Client (Linux und Windows) =====
 +
 +===== Import in Android =====
 +FIXME
 +https://forum.xda-developers.com/google-nexus-5/help/howto-install-custom-cert-network-t2533550 (Methode 1) \\
 +
 +
  
 ===== Links ===== ===== Links =====
Zeile 97: Zeile 151:
   * [[https://support.mozilla.org/en-US/questions/1249068|Mozillabeitrag Windows10]]   * [[https://support.mozilla.org/en-US/questions/1249068|Mozillabeitrag Windows10]]
   * [[https://support.mozilla.org/en-US/questions/1247869|Mozillabeitrag Ubuntu Linux]]   * [[https://support.mozilla.org/en-US/questions/1247869|Mozillabeitrag Ubuntu Linux]]
 +  * https://thomas-leister.de/ca-zertifikat-importieren-linux-windows/
 +
  
 +In Windows muss der Ordner Stammzertifizierungsstellen für das CA manuel ausgewählt werden um in Edge oder IE zu trusten. Das trusted wie es aussieht auch Chrome und Firefox, das wird aber nochmal getestet.