Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tuxedo:eine_eigene_ca_einrichten [2023/09/21 15:47] – [Integration in Android] timo
+++ tuxedo:eine_eigene_ca_einrichten [2023/09/24 13:34] (aktuell) – [Hilfen] timo
@@ Zeile 36: / Zeile 36: @@
 Phrase eingeben
 ===== Anlegen der CA =====
-Eine gute Beschreibung findet man unter [[https://wiki.ubuntuusers.de/CA/#Eigene-CA-betreiben|CA bei ubuntuusers wiki]]\\
+Eine gute Beschreibung findet man unter (([[https://wiki.ubuntuusers.de/CA/#Eigene-CA-betreiben|CA bei ubuntuusers wiki]]))\\
 Ich habe die im System mitgelieferte /usr/lib/ssl/misc/CA.pl nach **/usr/lib/ssl/misc/MyCA.pl** kopiert und $CATOP, sowie $CADAYS angepasst.\\
 <code bash>
@@ Zeile 171: / Zeile 171: @@
 ...
 nsCertType = server
-keyUsage = critical,keyEncipherment
+keyUsage = nonRepudiation, digitalSignature, keyEncipherment
 extendedKeyUsage = serverAuth
 ...
@@ Zeile 178: / Zeile 179: @@
 subjectAltName = @alt_names
 [alt_names]
-DNS.1 = narniacloud.tuxti.th
+DNS.1 = ns.tuxti.th
-DNS.2 = nas.tuxti.th
+DNS.2 = ds.tuxti.th
-DNS.3 = ds.tuxti.th
+DNS.3 = nas.tuxti.th
+DNS.4 = mail.tuxti.th
+DNS.5 = www.tuxti.th
+DNS.6 = wiki.tuxti.th
+DNS.7 = narnia.tuxti.th
+DNS.8 = narniacloud.tuxti.th
 IP.1 = 192.168.178.11
+IP.2 = 127.0.0.1
 ...
 [ v3_ca ]
@@ Zeile 303: / Zeile 310: @@
 ===== Zertifikat integrieren =====
-==== CAs in Ubuntu hinzufügen ====
+==== CA Zertifikat in Ubuntu hinzufügen ====
 CA-Zertifikate sind entweder bereits im Betriebssystem vorinstalliert (für allgemein anerkannte CAs), oder müssen von der Webseite der CA heruntergeladen und manuell installiert werden. In diesem Fall sollte das CA-Zertifikat sorgfältig geprüft werden, z.B. per telefonischem Abgleich des Fingerprints.\\
-Abgesehen davon, dass man Zertifikate auch als einfacher Benutzer über Importfunktionen oder Konfigurationsdirektiven in den diversen Client-Programmen nutzen kann, kann man ein CA-Zertifikat auch systemweit installieren. Als erstes muss man dafür die CA-Zertifikatsdatei im PEM-Format nach **/usr/local/share/ca-certificates/** kopieren. Am Besten denkt man sich ggf. noch einen aussagekräftigeren Namen für die Datei aus, z.B. organisationsname.crt. **Wichtig** ist aber, dass die Dateiendung **.crt** verwendet wird. Dann wird folgender Befehl ausgeführt:
+Abgesehen davon, dass man Zertifikate auch als einfacher Benutzer über Importfunktionen oder Konfigurationsdirektiven in den diversen Client-Programmen nutzen kann, kann man ein CA-Zertifikat auch systemweit installieren. Als erstes muss man dafür die CA-Zertifikatsdatei im **.pem-Format**, aber mit der **.crt** Endung nach **/usr/local/share/ca-certificates/** kopieren. Am Besten denkt man sich ggf. noch einen aussagekräftigeren Namen für die Datei aus, z.B. organisationsname.crt. **Wichtig** ist aber, dass die Dateiendung **.crt** verwendet wird. Dann wird folgender Befehl ausgeführt:
 <code bash>
 sudo dpkg-reconfigure ca-certificates
@@ Zeile 313: / Zeile 320: @@
 Bei allen Zertifikaten in /usr/local/share/ca-certificates/ wird davon ausgegangen, dass diese nachträglich manuell hinzugefügt wurden und daher auf jeden Fall mit installiert werden sollen.\\
-=== CAs aus Ubuntu löschen ===
+=== CA Zertifikat aus Ubuntu löschen ===
  Für das Löschen von CAs gilt dasselbe wie für das Hinzufügen von CAs in Ubuntu. Wegen der Vielzahl an Möglichkeiten an welchem Ort CAs im System hinterlegt werden können, bezieht sich das Löschen hier nur auf CA-Zertifikate unterhalb von /etc/ssl/certs/ und solche die über Update-Hooks in /etc/ca-certificates/update.d/ verwaltet werden.
@@ Zeile 330: / Zeile 337: @@
 Hier das Zertifikat der CA (Standartname cacert.pem öffnen.\\
 Dann noch die Häkchen für das vertrauen wählen.\\
-==== Integration in Android ====
+==== CA Zertifikats Integration in Android ====
 Hier am Beispiel Android 13\\
+Für Android wird das Zertifikat der CA im .crt Format benötigt. (siehe unten: "Hilfreiche Befehle")
   - Einstellungen öffnen
   - Sicherheit und Datenschutz
@@ Zeile 337: / Zeile 346: @@
   - Vom Gerätespeicher installieren
   - CA-Zertifikat (Trotzdem installieren)
-  - Den Speicherort wählen. Die .crt sollte erkannt werden und muss ausgewählt werden.
+  - Den Speicherort wählen. Die **.crt** sollte erkannt werden und muss ausgewählt werden.
 === Firefox unter Android ===
 Wenn der Firefox das Zertifikat nicht annimmt, muss die Verwendung von Drittanbieter-CA-Zertifikaten in Firefox aktiviert werden.\\
@@ Zeile 343: / Zeile 352: @@
 Gehe dazu in die Einstellungen > Über Firefox. Tippe fünf Mal auf das Firefox-Logo. Gehe zurück in die Einstellungen und du siehst einen neuen Menü-Eintrag: **Secret Settings**. Dort gibt es die Option **"Use third party CA certificates"**. Diese muss aktiviert sein.
-* [[tuxedo:Ein Zertifikat auf der Synology DS einbinden]]\\
+==== CA Zertifikats Integration in Windows ====
+  -Eine Eingabeaufforderung **cmd** als Administrator öffnen
+  -**mmc** eingeben
+  -In der Konsole Datei - Snap-In hinzufügen/entfernen wählen
+  -Zertifikate hinzufügen wählen
+  -zu Vertrauenswürdige Stammzertifizierungsstellen gehen
+  -Aktion - alle Aufgaben Importieren wählen
+  -Zertifikat für diesen Computer importieren
+  -Zertifikat auswählen
+* [[tuxedo:ein_zertifikat_auf_der_synology_ds_einbinden|Zertifikat auf der Synology DS]]\\
 ===== Wiederrufen eines Zertifikates =====
 Manchmal kann es nötig sein ein Zertifikat zu widerrufenen.\\
@@ Zeile 384: / Zeile 404: @@
 locate .pem | grep "\.pem$" | xargs -I{} openssl x509 -issuer -enddate -noout -in {}
 </code>
+Ein .pem Zertifikat in das .crt Format wandeln
+<code bash>
+openssl x509 -outform der -in cacert.pem -out cacert.crt
+</code>
+===== Hilfen =====
+Eine gute Beschreibung zu Openssl findet man unter [[https://www.openssl.org/docs/man3.0/man5/x509v3_config.html|x509v3_config DESCRIPTION]]