wie unsere Root-CA installiert wird

Bevor es losgeht:

• Was ist eine Root-CA ?

Eine Root-CA ist eine zentrale Instanz, die Zertifikate (elektronische Urkunden) beglaubigt.

• Wozu brauche ich die ?

Viele Dienste bauen eine sichere Verbindung zu einem Server auf. Um zu
erkennen, ob die Gegenseite der Kommunikation in der Tat der gewünschte Server
ist, ist eine Überprüfung mit einem Zertifikat eine gute Möglichkeit.
Wurde das Zertifikat von einer Root-CA beglaubigt und wir trauen der Root-CA zu
richtig beglaubigt zu haben, dann können wir ohne weitere Fehlermeldungen davon ausgehen, eine sichere Verbindung zu dem gewünschtem Server hergestellt zu haben.

• Warum brauchte ich das vorher nicht ?

Wir haben die letzten Jahre eine Menge Geld für die Nutzung einer kommerziellen
Root-CA ausgeben. Dies hat zum Beispiel den Vorteil, das die wichtigsten Webbrowser bei Überprüfen eines Zertifikates in der Regel keine Fehlermeldungen
ausgeben. Die Root-CA der kommerziellen Anbieter ist eingebaut und wird sozusagen "ab Werk" für vertrauenswürdig genug gehalten ein Zertifikat zu beglaubigen - es ist kein Installationsaufwand nötig.

• Warum machen wir nicht einfach weiter mit den kommerziellen Anbietern ?

Die Installation einer eigenen Root-CA ist nicht nur sehr lehrreich, sondern auch sehr einfach. Für uns als Dienstleister entfällt der bürokratische Aufwand mit Leuten zu reden, die oft schlechte Laune haben, weil wir sie mit Fragen belästigen und die in einer fragwürdigen Arbeitswelt arbeiten. Diese Arbeitswelt scheint - sowie mir das am Telefon berichtet wurde - eine Welt aus Panzerglas und Stahltresoren zu sein - ein Hochsicherheitstrakt eben.
Wir hingegen arbeiten auch gerne mal mit dem Laptop im Garten und haben dort eventuell das zentrale Beglaubigungskenntwort unter einer sehr giftigen Pflanze versteckt - dies ist natürlich viel gesünder und billiger.

Nun endlich zur Installation:

Für alle Browser gilt zunächst:

a) Herunterladen der Datei: opensource-consult_root_Certificate_2-public.crt

b) Installation der Root-CA

• Firefox (unter Edubuntu und Apple MacOSX getestet)

1. gehen Sie auf den Menupunkt "Einstellungen"
2. ganz rechts ist ein Zahnrad zu sehen "Advanced" (bei mir ist alles auf englisch...):

      

1. den Reiter ganz rechts mit der Aufschrift "Security/Sicherheit" auswählen
2. nun den Knopf "View Certificates/Zertifikate Anzeigen" drücken
   
3. mit dem Knopf "importieren" können Sie die Datei opensource-consult_root_Certificate_2-public.crt (unsere root-CA) laden
4. Drücken Sie nun "View Certificates" - der "Zertifikatsmanager" ist nun zu sehen:
   

      

1. Wenn Sie auf den Reiter "Authorities" und das Fenster ganz nach unten scrollen, dann erscheint später hier die importierte root-CA.
   

Wenn Sie nun den Knopf "Import" drücken, kann die root-CA importiert werden:



 Während des Importes können Sie nun auch mit "View/Anzeigen" die "Fingerabdrücke" der root-CA überprüfen.

• Safari

Öffnen Sie die Datei http://oc.opensource-consult.com/opensource-consult_root_Certificate_2-public.crt in der Anwendung "Schlüsselbund" - wichtig ist die Auswahl des Punktes "X509Anchors":



















Wenn alles prima installiert ist, sieht es so aus (ganz nach unten
scrollen):




 

c) Überprüfen der Root-CA

 die "Fingerabdrücke" der Root-CA sehen wir folgt aus:

 SHA1: D8 8A 1B 15 FD 55 BE 07 FE FF AB 91 AF 46 82 9B DD 74 F2 6A
 MD5: 7F D2 75 38 7C 40 62 4F 13 AB 95 B1 06 68 48 E2

 Wenn keine Übereinstimmung vorhanden ist, haben Sie wohl das falsche
 Root-CA installiert ...


 Vielen Dank für Ihre Mitarbeit und guten Empfang
 wünscht Sascha Gresk