In unserem Podcast diskutiert Thomas Bahn über Nutzen, Anwendungen und Erfahrungen aus den Bereichen Chatbots und Künstliche Intelligenz. Mehr erfahren

Zweistufige CA-Infrastruktur: CA-Root-Zertifikat für Browser importieren - Teil 1: Windows, Chrome, Edge & Internet Explorer

von Thomas,
assono GmbH, Standort Kiel,

Momentan kennen die Browser unsere neuen, selbst erstellen Zertifikate (Root-CA, Intermediate-CA und Server-Zertifikat) noch nicht und vertrauen ihnen also auch nicht. Deshalb muss man das neue CA-Root-Zertifikat an die für den jeweiligen Browser richtigen Stelle importieren. Die anderen Zertifikate werden dann anhand des Wurzelzertifikats geprüft.

Internet Explorer, Edge und Chrome nutzen unter Windows den Zertifikatsspeicher des Betriebssystems. Wenn man das CA-Root-Zertifikat dort als vertrauenswürdige Stammzertifizierungsstelle hinterlegt, erschlägt man gleich mehrere Browser mit einer Klappe.

Vorbereitungen

Windows kennt von Hause aus das PFX- bzw. PKCS #12-Format für Zertifikate, sodass wir unsere PEM-Dateien erst einmal konvertieren dürfen:

cd /local/assono-ca/root/
openssl pkcs12 -in assono-cert.pem -export -nokeys -out assono-cert.pfx
Enter Export Password:
Verifying - Enter Export Password:

Da kein privater Schlüssel drinsteckt, darf das Passwort gerne leer bleiben.

Noch einmal in die erzeugte Datei reinschauen:

openssl pkcs12 -info -in assono-cert.pfx
Enter Import Password:
MAC: sha1, Iteration 2048
MAC length: 20, salt length: 8
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes: <No Attributes>
subject=C = DE, ST = Schleswig-Holstein, L = Schnwentinental, O = assono GmbH, CN = assono, emailAddress = tbahn@assono.de
issuer=C = DE, ST = Schleswig-Holstein, L = Schnwentinental, O = assono GmbH, CN = assono, emailAddress = tbahn@assono.de
-----BEGIN CERTIFICATE-----
[…]
-----END CERTIFICATE-----

Die Datei /local/assono-ca/root/assono-cert.pfx auf den Windows-Rechner kopieren (z. B. mit WinSCP).

Das CA-Root-Zertifikat in Windows 10 importieren

Doppelklick auf die Datei öffnet den Zertifikatimport-Assistenten:

Für den aktuellen Benutzer importieren (oder für alle Benutzer des Computers) und Weiter.
Die Zertifikatsdatei ist schon ausgewählt. Weiter.
Das Kennwort kann leer bleiben und Weiter.
Als Ziel die Vertrauenswürdigen Stammzertifizierungsstellen auswählen und Weiter.
Fertig stellen.
Noch einmal prüfen und Ja.
So ist es gut.

Kontrolle

Den certmgr.msc starten:

Unter Vertrauenswürde Stammzertifizierungsstellen steht jetzt das importierte Zertifikat.
Ein Doppelklick darauf öffnet seine allgemeinen Eigenschaften …
… die Details …
... und den kurzen Zertifizierungspfad. Unten soll stehen, dass das Zertifikat gültig ist.

Internet Explorer

Internet Explorer starten, eine Seite vom Web-Server öffnen und neben der Adresszeile auf das Schloss klicken:

Das Root-Zertifikat sollte das Zertifikat des Webservers identifizieren.

Google Chrome

Chrome-Browser starten, eine Seite vom Web-Server öffnen und neben der Adresszeile auf das Schloss klicken:

Die Verbindung sollte als sicher angezeigt werden.

Microsoft Edge

Edge-Browser starten, eine Seite vom Web-Server öffnen und neben der Adresszeile auf das Schloss klicken:

Auch hier soll die Verbindung als sicher angezeigt werden.

Einer von den großen, wichtigen Browsern unter Windows macht sein eigenes "Ding", was Zertifikate angeht: Mozilla Firefox. Der kommt im nächsten Teil dran.

Thomas Bahn

Thomas Bahn, Diplom-Mathematiker, IT-Spezialist & Speaker auf Fachkonferenzen

Thomas Bahn ist Mitgründer und Geschäftsführer der assono GmbH. Seit mehr als 20 Jahren berät er erfolgreich Unternehmen aus ganz Deutschland rund um das Thema Software und Digitalisierung. Insbesondere in den Bereichen HCL Notes und Domino (ehemals IBM) als auch bei aktuellen, unternehmensrelevanten KI-Themen wie Chatbots kennt er die neusten Entwicklungen und weiß, wie diese sich gewinnbringend für Unternehmen einsetzen lassen. Aufgrund seines Expertenwissens ist Thomas Bahn regelmäßiger Sprecher auf nationalen und internationalen Fachkonferenzen.

Nächste Artikel in dieser Reihe:

Fachbeitrag Sicherheit Administration Für Entwickler

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie haben Interesse an diesem Thema?

Gerne bieten wir Ihnen eine individuelle Beratung oder einen Workshop an.

Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen?

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Gerne erstellen wir eine individuelle Demo für Sie.

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 416
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de

Einwilligung für externe Inhalte

Um Sie bestmöglich über unsere Angebote und aktuelle Themen wie Künstliche Intelligenz informieren zu können, integrieren wir externe Inhalte (Videos von Wistia) auf unserer Website. Außerdem verwenden wir Google Analytics und SalesViewer®, um allgemeine Statistiken zu erfassen und unsere Angebote zu verbessern. Dabei wird eine Verbindung zu den Servern der jeweiligen Betreiber hergestellt, zudem werden ggf. Cookies gesetzt. Siehe: assono.de/datenschutz