CA in Debian oder Ubuntu einbinden
Um ein Root-Zertifikat einer Zertifizierungsstelle in einem Debian-basierten Betriebssystem (wie beispielsweise Ubuntu oder Raspbian) zu integrieren, so kann dies recht einfach auf der Konsole erledigt werden.
Zunächst sollte das Paket ca-certificates mit dem Befehl sudo apt-get install ca-certificates installiert werden.
Danach läd man die Zertifikatsdatei im PEM-Format mit der Endung .crt und kopiert es in das Verzeichnis nach /usr/share/ca-certificates/ mit folgendem dem Befehl:
sudo wget -O /usr/local/share/ca-certificates/hitpki-g1.crt http://hitzigrath.de/ca/pki1/hitpki-g1.crt
Danach sollte der Datei-Hash geprüft und mit den Angaben auf der CA-Seite verglichen werden:
user@host:~$ md5sum /usr/local/share/ca-certificates/hitpki-g1.crt 9c523fd239c97163fc21d74c81eab413 /usr/local/share/ca-certificates/hitpki-g1.crt user@host:~$ sha1sum /usr/local/share/ca-certificates/hitpki-g1.crt 157eb62709a8d69a211530e1d5e59a202f7fef15 /usr/local/share/ca-certificates/hitpki-g1.crt
Anschließend sollte der Befehl sudo update-ca-certificates ausgeführt werden.
Bei älteren Releases deprecated:
Danach läd man die Zertifikatsdatei im PEM-Format mit der Endung .crt und kopiert es in das Verzeichnis nach /usr/share/ca-certificates/ mit folgendem dem Befehl:
sudo wget -O /usr/share/ca-certificates/hitpki-g1.crt http://hitzigrath.de/ca/pki1/hitpki-g1.crt
Danach sollte der Datei-Hash geprüft und mit den Angaben auf der CA-Seite verglichen werden:
user@host:~$ md5sum /usr/share/ca-certificates/hitpki-g1.crt 9c523fd239c97163fc21d74c81eab413 /usr/share/ca-certificates/hitpki-g1.crt user@host:~$ sha1sum /usr/share/ca-certificates/hitpki-g1.crt 157eb62709a8d69a211530e1d5e59a202f7fef15 /usr/share/ca-certificates/hitpki-g1.crt
Anschließend sollte der Befehl sudo dpkg-reconfigure ca-certificates ausgeführt werden. Im folgenden Dialog können dann neue Zertifikate mit „Ja“ automatisch dem System hinzugefügt werden:
Mit der Tabulator-Taste gelangen Sie zur <OK>-Betätigung.
Im folgenden Dialog werden dann alle Zertifikate angezeigt, die zur Zeit dem System bekannt sind:
Mit den Cursor-Tasten ⇑ und ⇓ können die Zertifikate angesteuert werden. Dabei sind Zertifikate mit [*] aktiviert und mit [ ] deaktiviert. Umschalten kann man dies mit der Leer-Taste.
Nach dem man seine Wahl getroffen hat gelangt man wieder mit der Tabulator-Taste zum <OK>-Feld und kann dort mit „Enter“ den Dialog beenden.
Es werden nun entsprechend der Angaben die Änderungen im System-weiten Zertifikatsspeicher getätigt:
… und das war es dann schon.
Als Test sollte dann z.B. mit einem Browser (hierbei nicht Firefox oder Chromium, da diese ihre eigene Zertifikats-Verwaltung mitbringen - anders wie Konqueror, Arora o.a.) der Aufruf einer HTTPS-Site, die mit einem Zertifikat (mit CA-Chain) der eigenen CA/PKI versehen ist, ohne weitere Meldungen aufgerufen werden können.