Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
server_und_serverdienste:eigene_ca_bauen_und_zertifikate_ausrollen [2019/03/06 22:46] – [Erstellen der eigenen CA] boospyserver_und_serverdienste:eigene_ca_bauen_und_zertifikate_ausrollen [2021/06/03 14:54] (aktuell) – [CA global in Ubuntu einspielen] loma
Zeile 1: Zeile 1:
 ====== Eigene CA bauen und Zertifikate ausrollen ====== ====== Eigene CA bauen und Zertifikate ausrollen ======
- FIXME+ 
 +Hauseigenes Apt-Repo: [[https://apt.iteas.at]]    [[https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=KE592Y5993ZKW|{{:wiki:btn_donatecc_lg.gif|}}]] 
 +\\ 
 +\\
 Grundegedanke war hier die ganze Hürde mit gekauften Zertifikaten zu umgehen, und das ganze noch einfacher zu gestalten. Für Organisationen intern, aber auch extern. Mit Installation von deinem DEB Paket in Ubuntu, und in Windows mit einem MSI. Wir erstellen eine eigene CA mit einem Wildcardzertifikat. Somit benötigen wir pro Domäne nur ein Zertifikat und können dies auf allen Geräten und Rechnern installieren. Daraus kann man natürlich auch Anmeldezertifikate (p12) erstellen, um die Sicherheit in relevanten Seiten hinauf zu schrauben. Grundegedanke war hier die ganze Hürde mit gekauften Zertifikaten zu umgehen, und das ganze noch einfacher zu gestalten. Für Organisationen intern, aber auch extern. Mit Installation von deinem DEB Paket in Ubuntu, und in Windows mit einem MSI. Wir erstellen eine eigene CA mit einem Wildcardzertifikat. Somit benötigen wir pro Domäne nur ein Zertifikat und können dies auf allen Geräten und Rechnern installieren. Daraus kann man natürlich auch Anmeldezertifikate (p12) erstellen, um die Sicherheit in relevanten Seiten hinauf zu schrauben.
  
Zeile 118: Zeile 121:
 <code> <code>
 /usr/lib/ssl/misc/CA.pl -sign  /usr/lib/ssl/misc/CA.pl -sign 
 +</code>
 +Hat man die "copy_extensions = copy" von oben aktiviert (nicht empfohlen), bekommt man folgende Fehlermeldung:
 +<code>
 +failed to update database
 +TXT_DB error number 2
 +</code>
 +Das Problem lies sich umgehen in dem ich die Datei ''demoCA/index.txt.attr'' bearbeitete und folgendes änderte: 
 +<code>
 +-- unique_subject = yes
 +++ unique_subject = no
 </code> </code>
 Die Passphrase im Signierschritt ist natürlich die des privaten CA-Schlüssels, und nicht die des Server-Schlüssels der gerade erstellt worden ist. Außerdem muss man darauf achten, am Ende wirklich mit "y" zu bestätigen, sonst bricht das Skript mit einem Fehler ab.  Die Passphrase im Signierschritt ist natürlich die des privaten CA-Schlüssels, und nicht die des Server-Schlüssels der gerade erstellt worden ist. Außerdem muss man darauf achten, am Ende wirklich mit "y" zu bestätigen, sonst bricht das Skript mit einem Fehler ab. 
Zeile 141: Zeile 154:
 update-ca-certificates update-ca-certificates
 </code> </code>
 +Man hat auch noch die Möglichkeit die Option ''-f'' dem Befehl anzuhängen. Dabei werden sämtlichen Symlinks von /etc/ssl gelöscht und neu verlinkt. Das macht Sinn wenn man eigene Zertifikate unter ''/usr/local/share/ca-certificates/'' löscht. Denn diese werden deshalb nicht unter ''/etc/ssl'' gelöscht.
 Alternativ interaktiv: ''dpkg-reconfigure ca-certificates'' Alternativ interaktiv: ''dpkg-reconfigure ca-certificates''
 +
  
 ===== Automatische Installation in Firefox (Linux und Windows) ===== ===== Automatische Installation in Firefox (Linux und Windows) =====