Zertifizierungsinstanz anlegen (“Root CA”)

Hintergrund

Zertifikate werden benötigt, um mit eigenen Web Servern per https verschlüsselt kommunizieren zu können. Beliebtes Beispiel ist die eigene Fritzbox. So ein Zertifikat auszustellen, ist eine Sache. Daß der Browser und Apps diesem Zertifikat aber standardmäßig vertrauen, ist die andere Seite. Da Zertifikate nicht länger als 365 Tage gültig sein dürfen (sonst werden sie grundsätzlich von allen Browsern abgelehnt), würde bedeuten, daß man jährlich auf allen verwendeten Geräten die Vertrauenseinstellungen aktualisieren muß.

Die Lösung hierfür ist, eine eigene Zertifizierungsinstanz anzulegen, die viele Jahre lang gültig sein darf. Dieser Zertifizierungsinstanz (engl. Certificate Authority, Root CA) muß auf allen Geräten vertraut werden. Damit vertrauen diese Geräte implizit allen Zertifikaten, welche von dieser Instanz ausgestellt wurden. Das Zertifikat der Fritzbox bspw. kann also nach einem Jahr einfach ersetzt werden, alle Geräte werden weiterhin vertrauen.

Vorgehen

  • Programm “Schlüsselbundverwaltung” öffnen.
  • Dort einen neuen Schlüsselbund anlegen. Sowohl die Root CA selbst als auch alle von ihr jemals ausgestellten Zertifikate sollten hier gesammelt werden, um den Überblick zu behalten!
  • Wählen Sie im Menü “Schlüsselbundverwaltung” → Zertifikatsassistent → Öffnen. Wählen Sie nie einen anderen Eintrag in diesem Untermenü, da der Assistent dann nicht korrekt funktioniert. Ein Bug seit über 10 Jahren…
  • Wählen Sie “Zertifizierungsinstanz erstellen”.
  • Geben Sie an:
    • Name der Instanz
    • Identitätstyp: Selbst-signierte Root-Zert-Instanz
    • Benutzerzertifikat: S/MIME (E-Mail)
    • Standardwerte überschreiben: Ja
    • Diese Zertifizierungsinstanz als Standard verwenden: Ja
    • E-Mail: Geben Sie eine Mailadresse an, welche zusammen mit allen Zertifikaten veröffentlich werden darf.
  • Auf der Folgeseite:
    • Seriennummer: 1
    • Gültigkeit in Tagen: 7300 (Das ist der Maximalwert.)
    • Weitere Haken entfernen.
  • Auf der Folgeseite:
    • E-Mail-Adresse: Geben Sie dieselbe Mailadresse wie zu Beginn ein.
    • Name (Allgemein): Erneut der Namen der Instanz wie zu Beginn angeben.
    • Land: DE
    • Alle anderen Felder leer lassen.
  • Ab jetzt kommen alle Bildschirme doppelt (für die Instanz und für Benutzer der Instanz)!
  • Schlüsselpaar (für beide):
    • Schlüssellänge: 8192 Bit
    • Algorithmus: RSA
  • Erweiterung Schlüsselverwendung (für beide): Aus
  • Erweiterte Schlüsselverwendung (für beide): Aus
  • Grundlegende Einschränkungen (für die Instanz): An
    • Dieses Zertifkat als Instanz verwenden: An
  • Grundlegende Einschränkungen (für Benutzer): Aus
  • Erweiterung “Alternativer Name des Inhabers” (für die Instanz): Aus
  • Erweiterung “Alternativer Name des Inhabers” (für Benutzer): An
    • Sonst alle Haken und Felder hier leer lassen.
  • Ort für das Zertifikat:
    • Den neu angelegten Schlüsselbund wählen.

Zwischenergebnis

Im Programm “Schlüsselbundverwaltung” sollte nun eine neue Root-Zertifizierungsinstanz verfügbar sein. Das öffentliche Zertifikat dieser Instanz kann einfach per Drag & Drop exportiert werden als .cer-Datei. Diese muß auf allen Geräten importiert werden, die dieser Instanz vertrauen sollen.

Importieren und vertrauen

Mac:

  • Die Zertifikatsdatei wird auf dem Mac per Doppelklick dem Schlüsselbund hinzugefügt.
  • Rechte Maus auf die neu erstellte Instanzzertifikat → Information
  • “Vertrauen” aufklappen.
  • Bei Verwendung dieses Zertifikats → “Immer vertrauen” auswählen.

iOS:

  • Die .cer-Datei per Mail senden oder per Safari von einer Webseite abrufen. Diese wird technisch wie ein iOS-Konfigurationsprofil behandelt und muß nach dem Download im App “Einstellungen” manuell noch installiert werden.
  • Anschließend dem Zertifikat vertrauen: Ebenfalls im App “Einstellungen” unter Allgemein → Info → Zertifikatsvertrauenseinstellungen

Endergebnis

Ab jetzt vertrauen die Geräte, Apps und Browser allen Zertifikaten, welche von dieser Instanz ausgestellt werden.