Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung
server_und_serverdienste:eigene_ca_bauen_und_zertifikate_ausrollen [2019/02/09 22:30] – [Erstellen der eigenen CA] boospyserver_und_serverdienste:eigene_ca_bauen_und_zertifikate_ausrollen [2019/03/06 22:17] – [Vorbereiten des Servers] boospy
Zeile 37: Zeile 37:
 locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {} locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}
 </code> </code>
 +PFX Inhalt anzeigen:
 +<code>
 +openssl pkcs12 -info -in testcert.pfx
 +</code>
 +
 +==== Vorbereiten des Servers ====
 +Wir verwenden hier ein Ubuntu 18.04 als CA Server. Sehr gut eigent sich auch ein LXC-Container oder Docker. Auch kann man die natürlich überall wo es passt dazu installieren. Folgende Pakete sollten installiert sein.
 +<code>
 +apt-get install ca-certificates ca-certificates-java ca-certificates-mono openssl gnutls-bin libnss3-tools 
 +</code>
 +Nun passen wir noch unsere ''/etc/ssl/openssl.cnf'' an. Mit diesem File kann man das meiste komplett automatisieren und vorallem für Google Chrome anpassen. Google Chrome ist der einzige Browser der [[https://support.google.com/chrome/a/answer/7391219?hl=de|spezielle Richtlinien]] für das Zertifikat verwendet. Das File nach eigenem Ermessen abändern. 
 +
 +[[https://forum.ubuntuusers.de/topic/eigenbaucertifikat-funkrioniert-in-chrome-nich/3/#post-9044714|Thread about]]
 +
 +<file bash openssl.cnf>
 +...
 +[ CA_default ]
 +...
 +default_days    = 3650                  # how long to certify for
 +default_crl_days= 30                    # how long before next CRL
 +default_md      = default               # use public key default MD
 +preserve        = no                    # keep passed DN ordering
 +...
 +# Extension copying option: use with caution.
 +# copy_extensions = copy
 +...
 +[ v3_req ]
 +...
 +subjectAltName = @alt_names
 +...
 +[ alt_names ]
 +DNS.1 = *.osit.cc
 +DNS.2 = localhost
 +DNS.3 = ip6-localhost
 +IP.1 = 127.0.0.1
 +IP.2 = ::1
 +...
 +[ v3_ca ]
 +...
 +subjectAltName = @alt_names
 +...
 +
 +</file>
 +Alle anderen Anpassungen im File sind zwecks Automatisierung empfohlen. 
 +===== CA global in Ubuntu einspielen =====
 +Das CA ganz einfach unter ''/usr/local/share/ca-certificates/'' ablegen. Mit dem nachfolgenden Befehl wird das Zertifikat in den globalen Zertifikatsspeicher des Systems importiert.
 +<code>
 +update-ca-certificates
 +</code>
 +Alternativ interaktiv: ''dpkg-reconfigure ca-certificates''
 +
 ===== Automatische Installation in Firefox (Linux und Windows) ===== ===== Automatische Installation in Firefox (Linux und Windows) =====
 Folgendes Tool muss in Ubuntu installiert werden. Folgendes Tool muss in Ubuntu installiert werden.
Zeile 73: Zeile 124:
 } }
 </file> </file>
 +Und noch ein Beispiel:
 +<file json policies.json>
 +{
 +   "policies":{
 +      "DisableBuiltinPDFViewer":true,
 +      "Extensions":{
 +         "Install":[
 +            "https://addons.mozilla.org/firefox/downloads/file/1672871/ublock_origin-*.xpi",
 +            "https://addons.mozilla.org/firefox/downloads/file/879506/ip_address_and_domain_information-*.xpi",
 +            "https://addons.mozilla.org/firefox/downloads/file/1205950/keepassxc_browser-*.xpi"
 +         ]
 +      },
 +      "Certificates":{
 +         "ImportEnterpriseRoots":true,
 +         "Install":[
 +            "/usr/local/share/ca-certificates/osit.cc-wildcard-selfsigned-cacert.crt",
 +            "/usr/local/share/ca-certificates/osit.cc-Fortinet_CA_SSL_deepinspection.crt"
 +         ]
 +      }
 +   }
 +}
 +</file>
 +
 Man kann auch Zertifikate in dem Verzeichnis des Benutzers ablegen ''~/.mozilla/certificates''. Diese werden dann ohne den gesamten Pfad unter "Install" vermerkt und auch automatisch installiert. Der globale Zertifikatsordner von Firefox in Ubuntu ''/usr/share/ca-certificates/mozilla'' funktioniert aus unverfindlichen Gründen nicht. Daher die Empfehlung immer den fully qualified path verwenden.  Man kann auch Zertifikate in dem Verzeichnis des Benutzers ablegen ''~/.mozilla/certificates''. Diese werden dann ohne den gesamten Pfad unter "Install" vermerkt und auch automatisch installiert. Der globale Zertifikatsordner von Firefox in Ubuntu ''/usr/share/ca-certificates/mozilla'' funktioniert aus unverfindlichen Gründen nicht. Daher die Empfehlung immer den fully qualified path verwenden. 
  
Zeile 99: Zeile 173:
  
 ===== Fertige Pakete für die Installation der CA am Client (Linux und Windows) ===== ===== Fertige Pakete für die Installation der CA am Client (Linux und Windows) =====
 +
 +===== Import in Android =====
 +FIXME
 +https://forum.xda-developers.com/google-nexus-5/help/howto-install-custom-cert-network-t2533550 (Methode 1) \\
 +
 +
  
 ===== Links ===== ===== Links =====
Zeile 104: Zeile 184:
   * [[https://support.mozilla.org/en-US/questions/1249068|Mozillabeitrag Windows10]]   * [[https://support.mozilla.org/en-US/questions/1249068|Mozillabeitrag Windows10]]
   * [[https://support.mozilla.org/en-US/questions/1247869|Mozillabeitrag Ubuntu Linux]]   * [[https://support.mozilla.org/en-US/questions/1247869|Mozillabeitrag Ubuntu Linux]]
 +  * https://thomas-leister.de/ca-zertifikat-importieren-linux-windows/
 +
  
 In Windows muss der Ordner Stammzertifizierungsstellen für das CA manuel ausgewählt werden um in Edge oder IE zu trusten. Das trusted wie es aussieht auch Chrome und Firefox, das wird aber nochmal getestet. In Windows muss der Ordner Stammzertifizierungsstellen für das CA manuel ausgewählt werden um in Edge oder IE zu trusten. Das trusted wie es aussieht auch Chrome und Firefox, das wird aber nochmal getestet.