wolkenplanet.deEin kleiner Server, der seine Runden durch die Internetwolken dreht..

TLS-Verschlüsselung - CAcert

Ihr wollt keine nervigen TLS/SSL-Zertifikatsfehler mehr erhalten, wenn ihr Dienste von wolkenplanet.de nutzt? Dazu müsst ihr die CAcert-Zertifikate in eure Zertifikatsverwaltung importieren. Unten steht erklärt, wie ihr das für euer System konkret macht.

CAcert ist eine von einer Gemeinschaft betriebene Zertifizierungsstelle, die nach persönlicher Verifizierung durch die Community kostenlose Klasse 3-Zertifikate ausstellt. Für andere Serverbetreiber: Bei einem persönlichen Treffen kann ich euch ebenfalls verifizieren, allerdings werdet ihr noch weitere Verifizierungen benötigen.

Wenn ihr erfolgreich wart könnt ihr neben wolkenplanet.de zum Beispiel auch die Chaos Computer Club-Dienste sicher nutzen.

Probleme, Anfragen für eigene Zertifikate oder Hinweise auf weitere Zertifikatsverwaltungen und wie man dort CAcert reinbekommt gerne an:

verwaltung /ÄT\ wolkenplanet \Punkt/ de

Inhaltsverzeichnis

Firefox-Zertifikatsverwaltung

Firefox benutzt nur seinen eigenen Zertifikatsspeicher. Auf die Links klicken, Haken machen, dass ihr dem Zertifikat vertraut und OK drücken genügt.

Andere Browser

Andere Browser benutzen üblicherweise den Zertifikatsspeicher von eurem Betriebssystem, siehe die nächsten Punkte.

Linux-Zertifikatsverwaltung

Bei Arch Linux und openSuSE und einigen anderen gibt es die CAcert-Zertifikate als Paket ca-certificates-cacert, bei anderen müsst ihr es manuell nachinstallieren:

sudo mkdir /usr/local/share/ca-certificates
sudo cd /usr/local/share/ca-certificates
sudo curl --insecure -O https://www.cacert.org/certs/root.crt
sudo curl --insecure -O https://www.cacert.org/certs/class3.crt

$whatever_inspection_that_you_actually_received_the_correct_certs
# class1 sha1: 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
openssl x509 -sha1 -in root.crt -noout -fingerprint
# class3 sha1: AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
openssl x509 -sha1 -in class3.crt -noout -fingerprint

sudo update-ca-certificates

dafür bedienen sich unter Linux aber praktisch alle Programme, inklusive alle KDE-Programme, wget, Pidgin, Mumble, Chromium, .. hier. Firefox braucht’s aber auch unter Linux separat.

Unter Arch Linux selbst wird inzwischen nicht mehr update-ca-certificates sondern trust verwendet. Sollte eure Distribution das Update auch gemacht haben, müsst ihr in einen anderen Ordner und das trust-Programm aufrufen:

cd /etc/ca-certificates/trust-source/anchors/
sudo curl --insecure -O https://www.cacert.org/certs/root.crt
sudo curl --insecure -O https://www.cacert.org/certs/class3.crt

$whatever_inspection_that_you_actually_received_the_correct_certs
# class1 sha1: 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
openssl x509 -sha1 -in root.crt -noout -fingerprint
# class3 sha1: AD:7C:3F:64:FC:44:39:FE:F4:E9:0B:E8:F4:7C:6C:FA:8A:AD:FD:CE
openssl x509 -sha1 -in class3.crt -noout -fingerprint

sudo trust extract-compat

Windows-Zertifikatsverwaltung

Zertifikate herunterladen (wenn nötig, z.B. in Firefox, Rechtsklick -> speichern unter), draufklicken, importieren. Fast alle Browser und Programme erkennen das dann an. Firefox und Pidgin gehören leider nicht dazu, unter Windows bringt auch Pidgin seine eigenen Zertifikate mit.

Unter Windows 7 und 8 war es nötig im Importassistenten noch den Zertifikatsspeicher auszuwählen und “Vertrauenswürdige Stammzertifikate” zu wählen, unter Windows XP wurde das automatisch erkannt.

Pidgin-Zertifikatsverwaltung unter Windows

Unter Windows benutzt Pidgin leider nicht die System-Zertifikatsverwaltung, sondern hat seine eigene. Es reicht aber immerhin, das Stammzertifikat und das Zwischenzertifikat einfach in

C:\Programme\Pidgin\ca-certs

reinzukopieren.

SailfishOS / Jolla

Der Standard-Sailfish-Browser basiert auf Firefox, daher sind wie auf dem Desktop zwei Imports nötig. Die Informationen stammen aus den Diskussionen System und Browser auf together.jolla.com.

devel-su

# System
pkcon install openssl
cd /etc/pki/tls/certs
curl --insecure https://www.cacert.org/certs/root.crt -o ca-cert-root.pem
curl --insecure https://www.cacert.org/certs/class3.crt -o ca-cert-class3.pem
multi_c_rehash

# Browser:
pkcon install nss-tools
certutil -A -n "CAcert root" -t "TC,TC,TC" -d /home/nemo/.mozilla/mozembed/ -i /etc/pki/tls/certs/ca-cert-root.pem
certutil -A -n "CAcert class 3" -t "TC,TC,TC" -d /home/nemo/.mozilla/mozembed/ -i /etc/pki/tls/certs/ca-cert-class3.pem

# Systemweite NSSDB für andere Dinge neben dem Browser,
# die auch die Mozilla-Datenbank benutzen:
certutil -A -n "CAcert root" -t "TC,TC,TC" -d /etc/pki/nssdb -i /etc/pki/tls/certs/ca-cert-root.pem
certutil -A -n "CAcert class 3" -t "TC,TC,TC" -d /etc/pki/nssdb -i /etc/pki/tls/certs/ca-cert-class3.pem

Nokia N9

Mit dem normalen Zertifikatsmanager hatte ich Probleme, mit dem Kommandozeilentool acmcli hat es dann aber funktioniert.

cd ~/MyDocs
curl -k -O https://www.cacert.org/certs/root.crt
curl -k -O https://www.cacert.org/certs/class3.crt
acmcli -lc common-ca -i root.crt
acmcli -lc common-ca -i class3.crt