SSL-CA-Zertifikat importieren


Jumplinks: Was ist ein „CA-Zertifikat?“, Bezug zu tionsys.de, Firefox, Chrome, Der Testlauf

Was ist ein „CA-Zertifikat“?

SSL-gesicherte Verbindungen verfolgen uns im Alltag; ob wir nun Onlinebanking betreiben, auf einem Downloadportal surfen oder Videos streamen. Ein Blick darauf, was genau das sind, findet sich in diesem Artikel. Dort wird auch beschrieben, dass es Zwischenstellen gibt, die eine Verbindung aus „vertrauenswürdig“ einstufen – dies wird einer „CA“ gemacht, einer „certification authority“.
Wenn ein Webmaster nun seinen Blog, nehmen wir als Beispiel mal „tionsys.de“, über eine SSL-gesicherte Verbindung erreichbar machen möchte, wendet er sich an eine Stelle und sagt dann in etwa „Ich bin Tion, ich besitze den Blog tionsys.de und habe einen Schlüssel mit der ID 123. Könnt ihr mir ein Zertifikat ausstellen, dass ich echt der Besitzer davon bin?“. Die CA überprüft dann, ob ich wirklich der Besitzer bin, indem sie zum Beispiel eine Email an „[email protected]“ schickt. Kam die Email an und bestätige ich den Empfang, bekomme ich das Zertifikat.
Das Zertifikat enthält eine „Unterschrift“ von dem Aussteller (a.k.a. „issuer“, in diesem Fall die CA); der Browser prüft dann, ob er dem Aussteller vertraut und wenn ja, glaubt er auch, dass ich wirklich diesen Blog besitze. Wenn nein, zeigt er dem Benutzer eine Fehlermeldung an.

Jedes Zertifikat enthält Informationen über den Antragsteller („subject“), dem Beglaubiger („issuer“), der Gültigkeit („Startdatum“ & „Enddatum“) und den Schlüssel, für den das Zertifikat gilt

Die Informationen über den Aussteller werden wiederum auch in einem Zertifikat gespeichert, welches der Aussteller in der Regel selber unterschreibt; dieses Zertifikat ist das „CA-Zertifikat“.

Bezug zu tionsys.de

Natürlich habe ich ebenfalls ein selbstbeglaubigtes CA-Zertifikat. Das ist nicht das, welches ich hier nutze (sonst hättet ihr schon eine Fehlermeldung bekommen) sondern an anderen Stellen, an denen ich kutzlebige Zertifikate brauche. Dieses lässt sich runterladen:
URL: https://ca.tionsys.xyz/get/cert/
SHA1: 61FA78A2 299BA509 203E02DA 59F7DF5B 6C96E3A4 oder 61:FA:78:A2:29:9B:A5:09:20:3E:02:DA:59:F7:DF:5B:6C:96:E3:A4
SHA256: 79:21:C9:C5:92:B5:9D:36:2B:85:89:BA:84:A3:C9:0D:F8:4C:E3:8B:06:29:71:64:CE:84:E1:02:C3:20:B6:9E
Für die Folgeschritte könnt ihr „mein“ Zertifikat als Beispiel nehmen; es funktioniert jedoch auch mit jedem anderen Zertifikat.

Firefox

Tipp: man kann die Bilder anklicken, um mehr zu sehen.

Wir öffnen die Einstellungen

Wir öffnen die Einstellungen

Wir gehen links auf Erweitert, oben auf Zertifikate, unten auf Zertifikate anzeigen

Wir gehen links auf Erweitert, oben auf Zertifikate, unten auf Zertifikate anzeigen

Oben wählen wir "Zertifizierungsstellen", unten Importieren

Oben wählen wir „Zertifizierungsstellen“, unten Importieren

Nachdem wir eine Datei ausgewählt haben, sagen wir, dass die CA alles bestätigen darf.

Wir wählen eine Datei aus und ticken alle Checkboxen an.


Nachdem wir diese Schritte vollzogen haben, ist das Zertifikat erfolgreich importiert 🙂

Chrome

Tipp: auch hier funktioniert das Anklicken der Bilder 🙂

Wir öffnen das Einstellungsmenü

Wir öffnen das Einstellungsmenü

Ganz unten klicken wir auf "Erweiterte Einstellungen anzeigen"

Ganz unten klicken wir auf „Erweiterte Einstellungen anzeigen“

Nun klicken wir im Unterpunkt HTTPS/SSL auf "Zertifikate verwalten".

Nun klicken wir im Unterpunkt HTTPS/SSL auf „Zertifikate verwalten“.

Oben wählen wir den Reiter "Vertraunswürdige Zertifizierungsstellen" aus, dann klicken wir unten auf "Importieren"

Oben wählen wir den Reiter „Vertraunswürdige Zertifizierungsstellen“ aus, dann klicken wir unten auf „Importieren“


Der Assistent leitet uns nun durch die einzelnden Schritte, die letztenendes nur daraus bestehen, das Zertifikat auszuwählen, welches wir installieren möchten.

Der Testlauf

Wer mein Zertifikat nutzt, kann direkt überprüfen, ob er alles richtig gemacht hat. Dazu kann man folgenden Endpunkt der XYZ-API benutzen: https://catest.tionsys.xyz/.
Der Endpunkt liefert bei einer ungesicherten Verbindung folgende Ausgabe:
{"error":false,"code":200,"message":"ok","data":{"ssl":false,"message":"This is an insecure (HTTP) connection"}}
Und bei einer sicheren Verbindung:
{"error":false,"code":200,"message":"ok","data":{"ssl":true,"message":"This connection is SSL secured"}}