Auf dieser Website werden Cookies gesetzt, die für den sicheren Betrieb technisch erforderlich sind. Siehe: Datenschutz

Zweistufige CA-Infrastruktur: CA-Root-Zertifikat für Browser importieren - Teil 1: Windows, Chrome, Edge & Internet Explorer

von Thomas,
assono GmbH, Standort Kiel,

Momentan kennen die Browser unsere neuen, selbst erstellen Zertifikate (Root-CA, Intermediate-CA und Server-Zertifikat) noch nicht und vertrauen ihnen also auch nicht. Deshalb muss man das neue CA-Root-Zertifikat an die für den jeweiligen Browser richtigen Stelle importieren. Die anderen Zertifikate werden dann anhand des Wurzelzertifikats geprüft.

Internet Explorer, Edge und Chrome nutzen unter Windows den Zertifikatsspeicher des Betriebssystems. Wenn man das CA-Root-Zertifikat dort als vertrauenswürdige Stammzertifizierungsstelle hinterlegt, erschlägt man gleich mehrere Browser mit einer Klappe.

Vorbereitungen

Windows kennt von Hause aus das PFX- bzw. PKCS #12-Format für Zertifikate, sodass wir unsere PEM-Dateien erst einmal konvertieren dürfen:

cd /local/assono-ca/root/
openssl pkcs12 -in assono-cert.pem -export -nokeys -out assono-cert.pfx
Enter Export Password:
Verifying - Enter Export Password:

Da kein privater Schlüssel drinsteckt, darf das Passwort gerne leer bleiben.

Noch einmal in die erzeugte Datei reinschauen:

openssl pkcs12 -info -in assono-cert.pfx
Enter Import Password:
MAC: sha1, Iteration 2048
MAC length: 20, salt length: 8
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes: <No Attributes>
subject=C = DE, ST = Schleswig-Holstein, L = Schnwentinental, O = assono GmbH, CN = assono, emailAddress = tbahn@assono.de
issuer=C = DE, ST = Schleswig-Holstein, L = Schnwentinental, O = assono GmbH, CN = assono, emailAddress = tbahn@assono.de
-----BEGIN CERTIFICATE-----
[…]
-----END CERTIFICATE-----

Die Datei /local/assono-ca/root/assono-cert.pfx auf den Windows-Rechner kopieren (z. B. mit WinSCP).

Das CA-Root-Zertifikat in Windows 10 importieren

Doppelklick auf die Datei öffnet den Zertifikatimport-Assistenten:

Für den aktuellen Benutzer importieren (oder für alle Benutzer des Computers) und Weiter.
Die Zertifikatsdatei ist schon ausgewählt. Weiter.
Das Kennwort kann leer bleiben und Weiter.
Als Ziel die Vertrauenswürdigen Stammzertifizierungsstellen auswählen und Weiter.
Fertig stellen.
Noch einmal prüfen und Ja.
So ist es gut.

Kontrolle

Den certmgr.msc starten:

Unter Vertrauenswürde Stammzertifizierungsstellen steht jetzt das importierte Zertifikat.
Ein Doppelklick darauf öffnet seine allgemeinen Eigenschaften …
… die Details …
... und den kurzen Zertifizierungspfad. Unten soll stehen, dass das Zertifikat gültig ist.

Internet Explorer

Internet Explorer starten, eine Seite vom Web-Server öffnen und neben der Adresszeile auf das Schloss klicken:

Das Root-Zertifikat sollte das Zertifikat des Webservers identifizieren.

Google Chrome

Chrome-Browser starten, eine Seite vom Web-Server öffnen und neben der Adresszeile auf das Schloss klicken:

Die Verbindung sollte als sicher angezeigt werden.

Microsoft Edge

Edge-Browser starten, eine Seite vom Web-Server öffnen und neben der Adresszeile auf das Schloss klicken:

Auch hier soll die Verbindung als sicher angezeigt werden.

Einer von den großen, wichtigen Browsern unter Windows macht sein eigenes "Ding", was Zertifikate angeht: Mozilla Firefox. Der kommt im nächsten Teil dran.

Nächste Artikel in dieser Reihe:

Fachbeitrag Sicherheit Administration Für Entwickler

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie haben Interesse an diesem Thema?

Gerne bieten wir Ihnen eine individuelle Beratung oder einen Workshop an.

Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen?

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Gerne erstellen wir eine individuelle Demo für Sie.

Wir verwenden Ihre Daten, um Sie einmalig per E-Mail zu kontaktieren. Wir geben Ihre Daten nicht an Dritte weiter. Siehe: Datenschutzhinweise
assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de