Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: curl Kryptographie KeePassium Certificate Authority
devices:env:ca

Inhaltsverzeichnis

Certificate Authority

Für den Einsatz selbst-signierter Zertifikate (im Gegensatz zu Let's encrypt Zertifikaten) muss einmalig eine Certificate Authority (CA) erzeugt werden. Mit dieser können dann selbst-signierte Zertifikate ausgestellt werden.

CA - Erzeugung

Eine eigene Certificate Authority muss nur einmalig (!) erzeugt werden, dazu müssen zunächst folgende Variablen festgelegt werden:

Variable Beschreibung Beispiel
CA-Anbieter Hier kann der Firmenkurzname / die URL herangezogen werden Linux-WHV
Datum Erzeugungsdatum der CA im ISO 8601 Format 2026-01-01

Ordner <CA-Anbieter>-CA anlegen und in den Ordner wechseln: 

# cd
# mkdir <CA-Anbieter>-CA
# cd <CA-Anbieter>-CA

cd
mkdir Linux-WHV-CA
cd Linux-WHV-CA

CA-Key erzeugen 

# openssl genrsa -aes256 -out <CA-Anbieter>-CA-<Datum>-key.pem 4096
openssl genrsa -aes256 -out Linux-WHV-CA-2026-01-19-key.pem 4096

CA-Zertifikat erzeugen 

# openssl req -key <CA-Anbieter>-CA-<Datum>-key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out <CA-Anbieter>-CA-<Datum>-crt.pem
openssl req -key Linux-WHV-CA-2026-02-19-key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out Linux-WHV-CA-2026-01-19-crt.pem
Variable Inhalt Beispiel
Country Name Land DE
State or Province Name Bundesland Niedersachen
Locality Name Stadt Wilhelmshaven
Organization Name CA-Anbieter Linux-WHV
Organizational Unit Name Abteilung IT
Common Name CA-Name Linux-WHV Certificate Authority
Email-Address CA-E-Mail <keine angeben>

Kontrolle: 

# openssl x509 -noout -text -in <CA-Anbieter>-CA-<Datum>-crt.pem
openssl x509 -noout -text -in Linux-WHV-CA-2026-01-19-crt.pem

Hinweis:

  • Im Anschluss die beiden CA Dateien auf mindestens 2 (verschiedene) externe Datenträger speichern.
    • CA-Zertifikats-Datei: <CA-Anbieter>-CA-<Datum>-crt.pem
    • CA-Schlüssel-Datei: <CA-Anbieter>-CA-<Datum>-key.pem
  • Die CA-Schlüssel-Datei niemals aus der Hand geben!

CA - Installation

Im Anschluss muss das Zertifikat der Certificate Authority (CA) in die Zielsysteme / Zielsoftware installiert werden. Dabei ist zu beachten, das einige Webbrowser den im Betriebssystem integrierten Zertifikatsspeicher nutzen und wieder andere, die ihren eigenen Zertifikatsspeicher mitbringen.

Apple iOS

Das Einfügen einer CA in den Zertifikatsspeicher in Apple iOS geschieht mit Hilfe des iPhone Configuration Tools. Eine Anleitung (ohne Gewähr) findet Ihr hier.

Apple macOS

Der in Apple macOS integrierte Zertifikatsspeicher wird vom Webbrowser Apple Safari verwendet.

  • Im Finder auf die Datei <CA-Anbieter>-CA-<Datum>-crt.pem doppelklicken
    • Im Fenster „Zertifikate hinzufügen“ den Schlüsselbund „System“ auswählen und dann „Hinzufügen“
  • Finder / Programme / Dienstprogramme / Schlüsselbundverwaltung
    • Schlüsselbund „System“ / Kategorie „Alle Objekte“
    • <CA-Anbieter>-CA / Rechte Maustaste / Informationen / Vertrauen:
      • Bei Verwendung dieses Zertifikates: Immer vertrauen

Google Android

  • Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auf den Speicher des Gerätes bewegen (via E-Mail, USB-Kabel…)
  • Einstellungen / Sicherheit & Datenschutz / Verschlüsselung & Anmeldedaten / Von SD-Karte installieren
  • Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen
  • Die PIN eingeben (oder via Fingerabdruck)
  • Zertifikatname: <CA-Anbieter>-CA
  • Verwendung der Anmeldedaten: VPN und Apps

Linux - Debian

sudo -i
apt install ca-certificates
mkdir -p /usr/share/ca-certificates/<CA-Anbieter>
  • CA-Zertifikat <CA-Anbieter>-CA-<Datum>-crt.pem dorthin kopieren und in .crt umbenennen
  • Auf keinen (!) Fall den CA-Key <CA-Anbieter>-CA-<Datum>-key.pem hier hinkopieren.
chown root:root /usr/share/ca-certificates/<CA-Anbieter>/<CA-Anbieter>*
chmod 644 /usr/share/ca-certificates/<CA-Anbieter>/<CA-Anbieter>*
nano /etc/ca-certificates.conf
  • CA-Zertifikat hier eintragen, Form: <CA-Anbieter>/<CA-Anbieter>-CA-<Datum>-crt.crt
update-ca-certificates

Das Ergebnis ist dann unter /etc/ssl/certs zu sehen, alle CAs sind dann in /etc/ssl/certs/ca-certificates.crt zusammengefasst

Linux - Fedora

https://www.devdungeon.com/content/how-add-trusted-ca-certificate-centosfedora 

sudo -i
cp <CA-Anbieter>-CA-<Datum>-crt.pem /etc/pki/ca-trust/source/anchors/
# Auf **keinen (!)** Fall den CA-Key <CA-Anbieter>-CA-<Datum>-key.pem hier hinkopieren.
update-ca-trust

Microsoft Windows

Der in Microsoft Windows integrierte Zertifikatsspeicher wird von den Webbrowsern Microsoft Edge & Internet Explorer verwendet.

  • Systemsteuerung / Anzeige: Kleine Symbole / Internetoptionen / Inhalte / Zertifikate / Vertrauenswürdige Stammzertifizierungsstellen / Importieren…
  • Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen

Mozilla Firefox

Dieses Produkt verwendet seinen eigenen, integrierten Zertifikatsspeicher.

  • Einstellungen / Datenschutz & Sicherheit / Zertifikate anzeigen…
  • Zertifizierungsstellen / Importieren…
  • Die Datei <CA-Anbieter>-CA-<Datum>-crt.pem auswählen
    • Dieser CA vertrauen, um Websites zu identifizieren: Aktiv
    • Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren: Aktiv
devices/env/ca.txt · Zuletzt geändert: von hse