zertifikat

[t.kuhmann]

hallo
ich habe mal eine frage wenn ich auf meinen webserver (apache) gehe, dann dann erscheint bei dem internet explorer immer die sicherheitsmeldung mit zertifikat was weiss ich was
habe ich dei möglichkeit das abzuschalten?

ich muss doch auch auf https seiten kommen ohen das immer mit ja zu bestätigen..
thx tobias

[arty]

Hi,

du musst dir schon ein Trusted Certificate austellen lassen, das kostet aber ein paar Euros, mehr Infos dazu gibts hier: http://server.1und1.com/root_server/security/8.html

bye
arty

[t.kuhmann]

ach so danke aber das brauche ich für meine privaten server nicht
und eine andere möglichkeit habe ich nicht?

[arty]

und eine andere möglichkeit habe ich nicht?

Beim IE imho nein. Mozilla kann man das Zertifikat bekannt machen...

bye
arty

[t.kuhmann]

hm will dich ja nich angreifen
aber das glaube ich nicht so ganz
ich muss doch die möglichkeit haben das abzuschalten bei einigen seiten geht das damit ich automatisch auf die https seite kommt und nich erst das zertifikat bestätigen

[arty]

Hi,

ja, das geht, weil der IE Zertifikate von Verisign oder Thawte immer annimmt. Hier ist übrigens der richtige Link: http://server.1und1.com/root_server/security/9.html

bye
arty

[Outlaw]

Du kannst das Zertifikat in den IE installieren, dann is Ruhe ....
(Zertifikat anzeigen => Zertifikat installieren)

Gruß Outi

[tuxyso]

Wenn es nur um dein lokales Netz geht, ist es kein Problem, auf https Seiten auch ohne diese nervige IE Meldung zu kommen.
Windoof verwaltet die Zertifikate in einem Zertifikatspeicher. In diesem Speicher sind die Zertifikate der bekannten CA's. Du musst die lediglich mit OpenSSH unter Linux eine Mini CA aufbauen und das Zertifikat der CA (wichtig mit der Endung .crt) dem IE bekannt machen, indem du es dort installierst.

Tuxyso

@Outi: Das geht aber nur wenn du das Zertifikat der CA installierst. Installierst du nur das Zertifikat vom Server klappt das nicht. Der IE erwartet, dass solche Zertifikate von einer CA ausgestellt wurden, diese also einen Zertifizierungspfad besitzen

Also ich benutze das selbstprogrammierte Skript ca zur Erstellung von einem CA Zertifikat und CRT's für die jeweiligen Server, denen ich ein Zertifikat ausstellen möchte und das Skript sigh.sh (aus c't) zur Signierung der Zertifikate). Raus kommt dann u.a. eine Datei Namens ca.crt, die dann nur noch im IE installiert werden muss (sprich Doppelklick):

--- Skript ca ----

Code: Select all

#!/usr/bin/perl

print qqµ 
CA Certificate Authority
========================
Aufgaben:
(1) Neue CA (Zertifikat + Schluessel)
(2) Neuer Server (Zertifikat + Schluessel)

Wahl: µ;
my $wahl = <STDIN>;
chomp $wahl;

if($wahl == 1) 
 { 
   newca();
 };

if($wahl == 2)
 {
   newserver();
 };

sub newca
 {
print "Neue CA:n";

# ca key erstellen
system("openssl genrsa -des3 -out ca.key 1024");
print "Gültigkeitsdauer in Tagen: ";
my $tage = <STDIN>;
chomp $tage;

system("openssl req -new -x509 -days $tage -key ca.key -out ca.crt");
 };

sub newserver
 {
print qqµ
Neuer Server:
Kurzname (wichtig für Key + Crt): µ;
my $kurzserver = <STDIN>;
chomp $kurzserver;

# server key erstellen
system("openssl genrsa -out $kurzserver.key 1024");

# server zertifikat erstellen
print "Gültigkeitdauer (in Tagen): ";
my $tage = <STDIN>;
chomp $tage;
system("openssl req -new -days $tage -key $kurzserver.key -out $kurzserver.csr");
system("./sign.sh $kurzserver.csr");
 };

---------------

------ Skript sigh.sh -------

Code: Select all

#!/bin/sh
##
##  sign.sh -- Sign a SSL Certificate Request (CSR)
##  Copyright (c) 1998-2001 Ralf S. Engelschall, All Rights Reserved. 
##

#   argument line handling
CSR=$1
if [ $# -ne 1 ]; then
    echo "Usage: sign.sign <whatever>.csr"; exit 1
fi
if [ ! -f $CSR ]; then
    echo "CSR not found: $CSR"; exit 1
fi
case $CSR in
   *.csr ) CERT="`echo $CSR | sed -e 's/.csr/.crt/'`" ;;
       * ) CERT="$CSR.crt" ;;
esac

#   make sure environment exists
if [ ! -d ca.db.certs ]; then
    mkdir ca.db.certs
fi
if [ ! -f ca.db.serial ]; then
    echo '01' >ca.db.serial
fi
if [ ! -f ca.db.index ]; then
    cp /dev/null ca.db.index
fi

#   create an own SSLeay config
cat >ca.config <<EOT
[ ca ]
default_ca              = CA_own
[ CA_own ]
dir                     = .
certs                   = $dir
new_certs_dir           = $dir/ca.db.certs
database                = $dir/ca.db.index
serial                  = $dir/ca.db.serial
RANDFILE                = $dir/ca.db.rand
certificate             = $dir/ca.crt
private_key             = $dir/ca.key
default_days            = 365
default_crl_days        = 30
default_md              = md5
preserve                = no
policy                  = policy_anything
[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional
EOT

#  sign the certificate
echo "CA signing: $CSR -> $CERT:"
openssl ca -config ca.config -out $CERT -infiles $CSR
echo "CA verifying: $CERT <-> CA cert"
openssl verify -CAfile ca.crt $CERT

#  cleanup after SSLeay 
rm -f ca.config
rm -f ca.db.serial.old
rm -f ca.db.index.old

#  die gracefully
exit 0

[Outlaw]

Das ist nicht richtig. Wenn ich das Zertifikat installiere, ist bei mir definitiv Ruhe, es steht zwar in der Zertiablage für ungeprüfte Zerts aber einmal installiert und Ruhe ist.

Gruß Outi

PS: Bei Zerts von der CA brauche ich gar nix machen, die sind ja geprüft, da muss ich nix installieren ....

[t.kuhmann]

ja also das wäe nicht nur lokal.....
das is auch übers web .....

kann das sein das es im apache ne einstellung ist?

[tuxyso]

@Outi: Da liegst du aber wiederum falsch. Du kannst unter Linux mit OpenSSL eine eigene CA realisieren und dir damit deine lokalen Zertifikate signieren. Woher soll der IE denn der Crt deiner CA kennen? Also musst du es installieren. Bei mir funktioniert die Installation von Nur-Client Zertifikaten nicht, daher habe ich es auch so geschrieben...
Zudem das über ne eigene mini CA zu realisieren eleganter ist, weil man dann nur ein Zertifikat installieren muss, wenn z.B. 10 Rechner SSL verwenden.

[Outlaw]

Der IE braucht die nicht zu kennen, ich habe ihm ja gesagt, er soll sie akzeptieren und die Schn**ze halten, wenn er wieder auf dieses Zertifikat trifft ....

Vielleicht habe ich ja mein Zerti auch selbst signiert, ich weiss es nicht mehr, is scho lange her aber ich habe meine Zertis eh selbst generiert, da bei den Standard immer das "doofe" puretec Zerti dabei war, ich aber meinen Servernamen geändert habe ....

Sorry, bin halt selbst noch absoluter NewBee ....

Gruß Outi