Hitzigrath

Netzwerk-Administrator und Hobby-Fotograf

Benutzer-Werkzeuge

Webseiten-Werkzeuge


pki:certinstdeb

CA in Debian oder Ubuntu einbinden

Um ein Root-Zertifikat einer Zertifizierungsstelle in einem Debian-basierten Betriebssystem (wie beispielsweise Ubuntu oder Raspbian) zu integrieren, so kann dies recht einfach auf der Konsole erledigt werden.

Zunächst sollte das Paket ca-certificates mit dem Befehl sudo apt-get install ca-certificates installiert werden.

Danach läd man die Zertifikatsdatei im PEM-Format mit der Endung .crt und kopiert es in das Verzeichnis nach /usr/share/ca-certificates/ mit folgendem dem Befehl:

sudo wget -O /usr/share/ca-certificates/hitpki-g1.crt http://hitzigrath.de/ca/pki1/hitpki-g1.crt

Danach sollte der Datei-Hash geprüft und mit den Angaben auf der CA-Seite verglichen werden:

user@host:~$ md5sum /usr/share/ca-certificates/hitpki-g1.crt
9c523fd239c97163fc21d74c81eab413  /usr/share/ca-certificates/hitpki-g1.crt
user@host:~$ sha1sum /usr/share/ca-certificates/hitpki-g1.crt
157eb62709a8d69a211530e1d5e59a202f7fef15  /usr/share/ca-certificates/hitpki-g1.crt

Anschließend sollte der Befehl sudo dpkg-reconfigure ca-certificates ausgeführt werden. Im folgenden Dialog können dann neue Zertifikate mit „Ja“ automatisch dem System hinzugefügt werden:

ca-certificates Konfiguration

Mit der Tabulator-Taste gelangen Sie zur <OK>-Betätigung.

Im folgenden Dialog werden dann alle Zertifikate angezeigt, die zur Zeit dem System bekannt sind:

Anzeige der Zertifikate

Mit den Cursor-Tasten ⇑ und ⇓ können die Zertifikate angesteuert werden. Dabei sind Zertifikate mit [*] aktiviert und mit [ ] deaktiviert. Umschalten kann man dies mit der Leer-Taste.

Auswahl von Zertifikaten

Nach dem man seine Wahl getroffen hat gelangt man wieder mit der Tabulator-Taste zum <OK>-Feld und kann dort mit „Enter“ den Dialog beenden.

Es werden nun entsprechend der Angaben die Änderungen im System-weiten Zertifikatsspeicher getätigt:

Einrichten von Zertifikaten

… und das war es dann schon.

Als Test sollte dann z.B. mit einem Browser (hierbei nicht Firefox oder Chromium, da diese ihre eigene Zertifikats-Verwaltung mitbringen - anders wie Konqueror, Arora o.a.) der Aufruf einer HTTPS-Site, die mit einem Zertifikat (mit CA-Chain) der eigenen CA/PKI versehen ist, ohne weitere Meldungen aufgerufen werden können.

Quellennachweise

pki/certinstdeb.txt · Zuletzt geändert: 20.07.2017 - 09:52 (Externe Bearbeitung)