Auf dieser Website werden Cookies gesetzt, die für den sicheren Betrieb technisch erforderlich sind. Siehe: Datenschutz

Zweistufige CA-Infrastruktur: CA-Root-Zertifikat für Browser importieren - Teil 3: macOS & Safari

von Thomas,
assono GmbH, Standort Kiel,

Momentan kennen die Browser unsere neuen, selbst erstellen Zertifikate (Root-CA, Intermediate-CA und Server-Zertifikat) noch nicht und vertrauen ihnen also auch nicht. Deshalb muss man das neue CA-Root-Zertifikat an die für den jeweiligen Browser richtigen Stelle importieren. Die anderen Zertifikate werden dann anhand des Wurzelzertifikats geprüft.

Beim ersten Teil dieser Folge haben wir das Zertifikat in Windows importiert und es so mittelbar Internet Explorer, Edge und Chrome zur Verfügung gestellt, im zweiten Teil haben wir Mozilla Firefox versorgt. Heute geht es um macOS und Safari auf dem Mac.

Die Datei assono-cert-with-password.pfx auf den macOS-Rechner kopieren.

Doppelklick auf die Datei startet den Import.
Passwort eingeben und Modify Keychain.
Passwort eingeben und OK.
Noch einmal das Passwort eingeben und Modify Keychain.
Standardmäßig wird das Zertifikat zwar importiert, aber ihm wird noch nicht getraut. Doppelklick auf das Zertifikat öffnet seine Eigenschaften.
Trust ausklappen und “When using this certificate” auf “Always Trust” stellen.
Weil dadurch die Keychain verändert wird, noch einmal mit dem Passwort bestätigen.
Jetzt wird dem Zertifikat vertraut.
Im Safari jetzt eine Seite vom Web-Server öffnen und in der Eingabezeile auf das Schlosssymbol klicken zeigt das Zertifikat und den Vertrauensstatus an.

Jetzt haben wir schon ein tolles Ziel erreicht: Wir haben eine eigene, mehrstufige CA-Infrastruktur aufgebaut, das Zertifikat für einen Web-Server erstellt, einen Domino-Web-Server so konfiguriert, dass er es nutzt, und die Root-CA in die im geschäftlichen Umfeld wichtigsten Betriebssysteme und Browser importiert, sodass diese unseren Zertifikaten vertrauen.

Wie geht es weiter? In der nächsten Folge widmen wir uns dem Java-Keystore. Wenn man Java-Programme schreibt, die zum Beispiel REST APIs oder Web Services TLS-geschützt aufrufen wollen und der Server mit einem unserer Zertifikate ausgestattet ist, dann sollte die JVM auch unseren Zertifikaten vertrauen.

Dieses Szenario war übrigens für mich der Auslöser, mich noch einmal systematisch und ausführlich mit dem Thema zu befassen: Ich wollte aus einer HCL Domino Volt-App per REST API-Aufruf an Daten in einer Datenbank auf einem anderen Domino-Server kommen, die per Domino Access Services (DAS) erreichbar sind. Und die Domino Volt-Runtime läuft unter Java...

Nächste Artikel in dieser Reihe:

Fachbeitrag Sicherheit Administration Für Entwickler

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie haben Interesse an diesem Thema?

Gerne bieten wir Ihnen eine individuelle Beratung oder einen Workshop an.

Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen?

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Gerne erstellen wir eine individuelle Demo für Sie.

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de