Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
server_und_serverdienste:eigene_ca_bauen_und_zertifikate_ausrollen [2019/02/08 22:52] – [Links] boospy | server_und_serverdienste:eigene_ca_bauen_und_zertifikate_ausrollen [2019/03/06 22:22] – [Vorbereiten des Servers] boospy | ||
---|---|---|---|
Zeile 33: | Zeile 33: | ||
ertutil -d sql: | ertutil -d sql: | ||
</ | </ | ||
+ | Alle Zertifiakte des Systems anzeigen: | ||
+ | < | ||
+ | locate .pem | grep " | ||
+ | </ | ||
+ | PFX Inhalt anzeigen: | ||
+ | < | ||
+ | openssl pkcs12 -info -in testcert.pfx | ||
+ | </ | ||
+ | |||
+ | ==== Vorbereiten des Servers ==== | ||
+ | Wir verwenden hier ein Ubuntu 18.04 als CA Server. Sehr gut eigent sich auch ein LXC-Container oder Docker. Auch kann man die natürlich überall wo es passt dazu installieren. Folgende Pakete sollten installiert sein. | ||
+ | < | ||
+ | apt-get install ca-certificates ca-certificates-java ca-certificates-mono openssl gnutls-bin libnss3-tools | ||
+ | </ | ||
+ | Nun passen wir noch unsere ''/ | ||
+ | |||
+ | [[https:// | ||
+ | |||
+ | <file bash openssl.cnf> | ||
+ | ... | ||
+ | [ CA_default ] | ||
+ | ... | ||
+ | default_days | ||
+ | default_crl_days= 30 # how long before next CRL | ||
+ | default_md | ||
+ | preserve | ||
+ | ... | ||
+ | # Extension copying option: use with caution. | ||
+ | # copy_extensions = copy | ||
+ | ... | ||
+ | [ v3_req ] | ||
+ | ... | ||
+ | subjectAltName = @alt_names | ||
+ | ... | ||
+ | [ alt_names ] | ||
+ | DNS.1 = *.osit.cc | ||
+ | DNS.2 = localhost | ||
+ | DNS.3 = ip6-localhost | ||
+ | IP.1 = 127.0.0.1 | ||
+ | IP.2 = ::1 | ||
+ | ... | ||
+ | [ v3_ca ] | ||
+ | ... | ||
+ | subjectAltName = @alt_names | ||
+ | ... | ||
+ | |||
+ | </ | ||
+ | Alle anderen Anpassungen im File sind zwecks Automatisierung empfohlen. Hier das ganze File zum Download: [[https:// | ||
+ | ===== CA global in Ubuntu einspielen ===== | ||
+ | Das CA ganz einfach unter ''/ | ||
+ | < | ||
+ | update-ca-certificates | ||
+ | </ | ||
+ | Alternativ interaktiv: '' | ||
+ | |||
===== Automatische Installation in Firefox (Linux und Windows) ===== | ===== Automatische Installation in Firefox (Linux und Windows) ===== | ||
Folgendes Tool muss in Ubuntu installiert werden. | Folgendes Tool muss in Ubuntu installiert werden. | ||
Zeile 69: | Zeile 124: | ||
} | } | ||
</ | </ | ||
+ | Und noch ein Beispiel: | ||
+ | <file json policies.json> | ||
+ | { | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | ] | ||
+ | }, | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | "/ | ||
+ | "/ | ||
+ | ] | ||
+ | } | ||
+ | } | ||
+ | } | ||
+ | </ | ||
+ | |||
Man kann auch Zertifikate in dem Verzeichnis des Benutzers ablegen '' | Man kann auch Zertifikate in dem Verzeichnis des Benutzers ablegen '' | ||
Zeile 95: | Zeile 173: | ||
===== Fertige Pakete für die Installation der CA am Client (Linux und Windows) ===== | ===== Fertige Pakete für die Installation der CA am Client (Linux und Windows) ===== | ||
+ | |||
+ | ===== Import in Android ===== | ||
+ | FIXME | ||
+ | https:// | ||
+ | |||
+ | |||
===== Links ===== | ===== Links ===== | ||
Zeile 100: | Zeile 184: | ||
* [[https:// | * [[https:// | ||
* [[https:// | * [[https:// | ||
+ | * https:// | ||
+ | |||
In Windows muss der Ordner Stammzertifizierungsstellen für das CA manuel ausgewählt werden um in Edge oder IE zu trusten. Das trusted wie es aussieht auch Chrome und Firefox, das wird aber nochmal getestet. | In Windows muss der Ordner Stammzertifizierungsstellen für das CA manuel ausgewählt werden um in Edge oder IE zu trusten. Das trusted wie es aussieht auch Chrome und Firefox, das wird aber nochmal getestet. | ||