Eigene CA betreiben – Schritt 2 (Root-Zertifikat auf den Clients installieren)

Im ersten Teil habe ich mir ein Root-Zertifikat erstellt, welches ich dazu nutzen möchte selbst erstellte Zertifikate für interne Webserver zu beglaubigen. Damit dieses funktioniert, muss ich aber zunächst einmal den Clients beibringen, dass sie unserem Root-Zertifikat – und damit auch allen damit beglaubigten Zertifikaten – vertrauen.

Je nach verwendetem Betriebssystem ist der Vorgang mehr oder weniger kompliziert.

Debian / Ubuntu

sudo cp /root/CA/fafa4-ca.pem /usr/share/ca-certificates/fafa4-ca.crt
sudo dpkg-reconfigure ca-certificates

Die anschließende Sicherheitsabfrage sollte mit Ja beantwortet werden, damit unser Root-Zertifikat installiert wird.

dpkg-reconfigure Sicherheitsabfrage
Die Sicherheitsabfrage der ca-certificates-Konfiguration

Im Anschluss wähle ich unser fafa4-ca.crt aus und lasse es in /etc/ssl/certs/ca-certificates.crt installieren

Mein zu installierendes Root-Zertifikat auswählen

Wenn alles nach Plan läuft, wird mein Root-Zertifikat hinzugefügt.

Trigger für ca-certificates (20170717~16.04.2) werden verarbeitet ...
Updating certificates in /etc/ssl/certs...
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...
done.

Windows 7 / Windows 10

Die hier verwendeten Screenshots sind von einem Windows7-Rechner, bei einem Windows 10-Rechner sieht das optisch etwas anders aus, funktioniert aber ansonsten analog.

Zunächst kopiere ich das Root-Zertifikat auf den Windows-Rechner (ob lokale Festplatte oder Netzlaufwerk spielt keine Rolle).

Dann mittels Windows-Taste + R die mmc aufrufen.

MMC starten
Aufruf der MMC

Über Datei – Snap-In hinzufügen/entfernen fügr ich das Snap-In „Zertifikate“ hinzu.

Zertifikate Snap-In auswählen und hinzufügen
Auswahl und Hinzufügendes Snap-Ins „Zertifikate“

Da das Zertifikat unabhängig vom gerade angemeldeten Benutzer installiert werden soll, wähle ich bei der anschließenden Frage „Computerkonto“ aus.

Auswahl Computerkonto beim Zertifikate Snap-In
Auswahl von Computerkonto

Auch die nächste Abfrage wird mit „lokaler Computer“ beantwortet.

Lokaler Computer
Auswahl des lokalen Computers

Nach dem Klick auf „Fertigstellen“ steht das Zertifikate-SnapIn in der Auswahl und nach einem Klick auf „Ok“ zeigt sich folgendes Bild.

Konsolenstamm - Zertifikate (lokaler Computer)
Konsolenstamm – Zertifikate (Lokaler Computer)

Im Bereich „Vertrauenswürdige Stammzertifizierungsstellen“ stehen alle CAs, denen der Rechner vertraut.

Zertifikate der vertrauenswürdigen Stammzertifizierungsstellen
Zertifikate der vertrauenswürdigen Stammzertifizierungsstellen

Mittels Rechtsklick auf „Zertifikate“ – „Alle Aufgaben“ – „Importieren“ starten wir nun den Importvorgang für unser eigenes Root-Zertifikat (hierzu sollte man natürlich wissen in welches Verzeichnis man es kopiert hat).

Wenn alles funktioniert hat, sehe ich dann auch das Root-Zertifikate für „Fafa4 – interne CA“ in der Liste .

Unser Root-Zertifikat erscheint in der Liste
Unser Root-Zertifikat in der Liste der vertrauenswürdigen Stammzertifizierungsstellen

Damit ist unsere CA auf diesem Rechner eingerichtet. Für das heimische Netzwerk mit ein paar Rechnern ist das sicherlich ein gangbarer Weg, aber wenn man ein paar 10.000 Rechner im Domänen-Betrieb betreut, geht das manuell natürlich nicht. Hier führt der Weg über eine Verteilung der Zertifikate per Gruppenrichtlinie, aber wie das geht, erkläre ich dann im dritten Teil.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.