Um Zertifikatsfehler bei eigenen CAs zu beseitigen muss man das Root CA Zertifikat dem Zertifikatsstore des Betriebssystems bekannt machen.
Das Root CA Zertifikat muss im Ordner /usr/share/ca-certificates abgelegt werden mit der Endung .crt (nicht .pem). Man sollte einen passenden und aussagekräfigen Namen für die Datei vergeben. Bei Ubuntu sind zusätzlich die Zertifikate in verschiedene Unterordner einsortiert. Wenn es mehrere sind kann man auch noch einen eigenen Ordner erstellen.
root@foobar:/usr/share/ca-certificates# ls -la insgesamt 52 drwxr-xr-x 11 root root 4096 2011-07-29 12:29 . drwxr-xr-x 101 root root 4096 2011-07-28 11:10 .. drwxr-xr-x 2 root root 4096 2011-07-28 10:16 brasil.gov.br drwxr-xr-x 2 root root 4096 2011-07-28 10:16 cacert.org drwxr-xr-x 2 root root 4096 2011-07-28 10:16 debconf.org drwxr-xr-x 2 root root 4096 2011-07-28 10:16 gouv.fr drwxr-xr-x 2 root root 12288 2011-07-28 10:16 mozilla drwxr-xr-x 2 root root 4096 2011-07-28 10:16 signet.pl drwxr-xr-x 2 root root 4096 2011-07-28 10:16 spi-inc.org drwxr-xr-x 2 root root 4096 2011-07-28 10:16 telesec.de
Nach dem Ablegen des Zertifikats muss man dieses noch installieren. Dazu ist das Kommando „dpkg-reconfigure ca-certificates“ auszuführen. Es öffnet sich ein Menü, hier ist sicherheitshalber „Fragen“ auszuwählen.
┌──────────────────────────────┤ ca-certificates configuration ├───────────────────────────────┐ │ Dieses Paket kann neue Zertifikate von CAs (Zertifizierungsstellen) installieren, wenn ein │ │ Upgrade durchgeführt wird. Sie sollten solche neuen CA-Zertifikate vielleicht prüfen und │ │ nur Zertifikate auswählen, denen Sie vertrauen. │ │ │ │ - Ja : neuen CA-Zertifikaten wird vertraut und sie werden installiert; │ │ - Nein : neue CA-Zertifikate werden standardmäßig nicht installiert; │ │ - Fragen: fragt bei jedem neuen CA-Zertifikat nach. │ │ │ │ Neuen Zertifikaten von Zertifizierungsstellen vertrauen? │ │ │ │ Ja │ │ Nein │ │ Fragen │ │ │ │ │ │ <Ok> │ │ │ └──────────────────────────────────────────────────────────────────────────────────────────────┘
Im nächsten Screen muss das zu installierende Zertifikat markiert werden.
┌──────────────────────────────┤ ca-certificates configuration ├──────────────────────────────┐ │ Dieses Paket installiert gebräuchliche Zertifikate von CAs (Zertifizierungsstellen) unter │ │ /usr/share/ca-certificates. │ │ │ │ Bitte wählen Sie die Zertifizierungsstellen aus, denen Sie vertrauen, damit deren │ │ Zertifikate in /etc/ssl/certs installiert werden. Sie werden in eine einzige Datei │ │ /etc/ssl/certs/ca-certificates.crt zusammengestellt. │ │ │ │ Zu aktivierende Zertifikate: │ │ │ │ [*] brasil.gov.br/brasil.gov.br.crt ↑ │ │ [*] cacert.org/cacert.org.crt ▮ │ │ [*] debconf.org/ca.crt ▒ │ │ [*] gouv.fr/cert_igca_dsa.crt ▒ │ │ [*] gouv.fr/cert_igca_rsa.crt ▒ │ │ [ ] eigene-root-ca/root-ca.crt ▒ │ │ [*] mozilla/ABAecom_=sub.__Am._Bankers_Assn.=_Root_CA.crt ▒ │ │ [*] mozilla/AddTrust_External_Root.crt ↓ │ │ │ │ │ │ <Ok> │ │ │ └─────────────────────────────────────────────────────────────────────────────────────────────┘
Das ganze mit OK bestätigen, das Zertifikat wird installiert.
Hallo,
was bedeuten diese Sterne vorne vor den einzelnen Zertifikaten [*] ?
Und wie genau wählt man das Zertifikat aus? Einfach in die jeweilige Zeile und Enter?
Hallo Sebastian,
[*] bedeutet das das Zertifikat selektiert ist. Du kannst mit der Leertaste eine Zeile aktivieren/deaktivieren.
Gruß
Max