Beantrage Änderung auf allgemeingültig
Dieses Thema ist die Diskussion des Artikels
CA.
|
Ehemalige
Anmeldungsdatum: Beiträge: 4259 |
|
|
Ehemalige
Anmeldungsdatum: Beiträge: 7723 |
Hi,
+1 Gruss Lasall EDIT: Was ist mit dem Firefox 3.x Abschnitt? Ist das auch bei aktuellen Firefoxversionen so? Wenn ja, bitte auf Firefox allgemein ändern und wenn nein, bitte Abschnitt entfernen. |
Anmeldungsdatum: Beiträge: 278 |
Hallo, ich habe da ein kleines verständnisproblem. Ich versuche der beschreibung zu folgen. Erstellung einer CA - O.K. Erstellung eines CSR - O.K. Signieren des CSR - O.K. Nach dem signieren des CSR liegen folgende Dateien vor: newreq.pem, newkey.pem und newcert.pem. Die müssen noch in die entsprechenden verzeichnisse der CA kopiert werden und der name muss eineindeutig werden. Soweit so gut. Ich habe also jetzt ein Zertifikat welches theoretisch z.B. für einen webserver zum einsatz kommen könnte. Jetzt wird im Absatz "Nutzung als selbstsigniertes Zertifikat auf einem Webserver" von "Das Zertifikat (cert)" und "Der Schlüssel (key)" gesprochen. Jetzt hat man mich abgehängt. Im nachfolgenden befehl ist auch von "some.key" die rede. Eine solche datei ist bisher nicht aufgetaucht. Ich vermute mal, dass mit "Das Zertifikat (cert)" die datei newcert.pem gemeint ist und mit "Der Schlüssel (key)" die datei newkey.pem. Sollte bitte für newbies etwas deutlicher dargestellt werden - danke! |
|
Anmeldungsdatum: Beiträge: 6 |
Hey, ich weiß nicht, ob ich mich dumm angestellt habe oder es aus der Anleitung nicht klar hervorgeht, aber: Ich hatte versucht, mein Zertifikat mit dpkg-reconfigure ca-certificates einzubinden und bin auf folgenden Fehler gestoßen: Warning: there was a problem reading the certificate file /etc/ssl/certs/cacert.pem. Message: invalid DER-encoded certificate data Nach langem Googeln bin ich darauf gestoßen, dass auch im Zertifikat in /usr/share ... alles vor dem "––-BEGIN CERTIFICATE-––" entfernt werden muss. Wäre ein Hinweis im WIKI wert oder? |
|
Ehemalige
(Themenstarter)
Anmeldungsdatum: Beiträge: 4259 |
Eingefügt. Danke |
|
Anmeldungsdatum: Beiträge: 70 |
Ich benutze zwar nicht die Ubuntu-Version für die der Artikel getestet wurde (12.04) sondern 14.04. und 16.04, glaube aber dass der Bezug zwischen dem Paket ca-certificates und Webbrowsern für alle Ubuntu-Versionen nicht stimmt. Weder Chromium / Google Chrome noch Firefox verwenden die CAs aus ca-certificates. CAs in Firefox:
CAs in Chromium / Google Chrome:
Daher sollte folgender Text geändert werden: "Ubuntu bringt über das Paket ca-certificates eine ganze Reihe sogenannter Root-Zertifikate seriöser CAs mit, die von Client-Programmen wie Webbrowsern benutzt werden, um die Identität von SSL-verschlüsselten Serverdiensten zu verifizieren." |
|
Anmeldungsdatum: Beiträge: 29240 |
Willkommen! Es gibt nicht nur zwei Browser. Aber da es ein Wiki ist, könntest du ja mit den selben Zugangsdaten ergänzen, dass Firefox und Chromium/ Chrome ihre eigenen Zertifkate benutzen. Ganz streichen wäre zu einfach, irgendein wichtiges Beispiel sollte schon stehenbleiben - auch wenn es hier gerade etwas anders ist. Gibt es bessere Beispiele? Laut $ apt-cache rdepends ca-certificates ca-certificates Reverse Depends: ubuntu-touch golang-go python3-requests python-requests libcurl3-nss libcurl3-gnutls libcurl3 boinc-client ubuntu-touch ubuntu-dev-tools sylpheed python3-pip python-pip mercurial-common kubuntu-desktop kubuntu-active golang-1.6-go glib-networking-tests docker.io wget software-properties-common python3-urllib3 python3-requests python-urllib3-whl python-urllib3 python-requests-whl python-requests python-bzrlib openssl mutt libruby1.9.1 libqt4-network libpurple0 liblwp-protocol-https-perl libcurl3-nss libcurl3-gnutls libcurl3 landscape-common freeradius cloud-image-utils zeroinstall-injector xubuntu-desktop ubuntustudio-desktop ubuntu-touch ubuntu-gnome-desktop ubuntu-dev-tools sympa sylpheed sendmail-base ruby-excon python3-tornado python3-pip python-txaws python-pip php-guzzle php-google-api-php-client osc msmtp mew-bin mew-beta-bin mercurial-common mediascanner lubuntu-core libopenconnect2 libhttp-tiny-perl kubuntu-desktop kubuntu-active glib-networking-tests gajim esniper epiphany-browser docker.io boinc-client balsa aria2 wget w3m ubuntu-desktop ssh-import-id software-properties-common python3-urllib3 python3-requests python3-httplib2 python-urllib3 python-tornado python-requests python-httplib2 python-bzrlib openssl mutt libwww-perl libruby1.9.1 libqt4-network libqca2 libpurple0 libneon27-gnutls liblwp-protocol-https-perl libcurl3-nss libcurl3-gnutls libcurl3 landscape-common freeradius fetchmail cloud-image-utils ca-certificates-java unter 14.04 wird es ja z.B. vom Browser epiphany-browser sowie w3m, aber auch anderen Programmen wie dem Mailprogramm mutt sowie sylpheed, dem Downloadprogramm wget und dem Messenger gajim verwendet, wobei w3m, mutt und wget Terminalbefehle sind. Auch wenn sie seltener verwendet werden (Spekulationen haben im Wiki nichts verloren), würde ich an deiner Stelle den Browser Epiphany sowie das Emailprogramm Sylpheed erwähnen (Firefox und Chromium dann gar nicht erst erwähnen), wenn andere binnen drei Tagen nix anderes meinen. Befehle würde ich da nicht an erster Stelle setzen, wobei der Download-Befehl wget häufig und einfach verwendet wird und daher eine Erwähnung wert wäre - als Link. |
|
Anmeldungsdatum: Beiträge: 70 |
Das mit den Beispielen ist eine gute Idee. Da das Thema des Artikels allgemein "CA" ist, würde ich dann die beiden Arten von CA-Zertifikatsspeichern auflisten, jeweils mit ein paar Beispielprogrammen: 1. CA-Zertifikatsspeicher als Dateien im PEM-Format (Zugriff über OpenSSL- und GnuTLS-Bibliotheken, systemweite Standardliste im Paket "ca-certificates") Beispiele: epiphany-browser, sylpheed, apache2 2. CA-Zertifikatsspeicher im NSS-Format (Zugriff über NSS-Bibliothek, keine systemweite Standardliste im Paket "libnss3-nssdb" enthalten sondern in der Bibliotheksdatei libnssckbi.so hartkodiert eingebettet) Beispiele: chromium-browser, firefox, thunderbird Unter "CA-Zertifikat importieren" müsste dann eben auch noch eine Beschreibung zu "certutil" eingefügt werden für das Importieren von Zertifikaten in einen NSS-Zertifikatsspeicher. |
|
Anmeldungsdatum: Beiträge: 29240 |
Klingt so, als ob du da einen Überblick hättest - lass dir doch eine Baustelle mit einer Wiki-Kopie auf Zuruf hier geben... |
|
Anmeldungsdatum: Beiträge: 70 |
Bitte den Artikel in eine Baustelle kopieren. Ich würde gerne einige Änderungen machen bzgl. CA-Speicher. Im Artikel sollte deutlich werden, dass es unter Ubuntu mehrere Orte gibt an denen CAs abgespeichert werden, nicht nur innerhalb von ca-certificates. Dazu gibt es mittlerweile auch einen Bugreport in Launchpad: "SSL trust not system-wide" https://bugs.launchpad.net/ubuntu/+source/nss/+bug/1647285 Grüße, Roland |
|
Ehemaliger
Anmeldungsdatum: Beiträge: 28316 |
Hallo, der Artikel ist in der Baustelle. Das Fertigstellungsdatum bitte bei Bedarf noch anpassen. Wenn du fertig bist bitte hier kurz posten. Und natürlich auch bei Fragen etc. Gruß, noisefloor |
|
Ehemaliger
Anmeldungsdatum: Beiträge: 28316 |
Hallo, @rolands11: auch, wenn du (vielleicht) noch nicht fertig bist: beim Schreiben bitte Wiki/Syntax beachten, im gegebenen Fall heißt das in erster Linie:
Gruß, noisefloor |
|
Anmeldungsdatum: Beiträge: 70 |
Ich habe den Baustellen-Artikel jetzt soweit fertig. Bitte in den Wiki-Artikel übernehmen. Viele Grüße, Roland |
|
Ehemaliger
Anmeldungsdatum: Beiträge: 28316 |
Hallo, habe ein paar Kleinigkeiten korrigiert. Wenn sich in den kommenden Tagen niemand mehr hier äußert, wird der Baustellenstatus aufgelöst. Gruß, noisefloor |
Anmeldungsdatum: Beiträge: 562 |
Meiner Meinung nach ist der Name "CA" zu kurz und dadurch schwer zu erkennen, was sich dahinter verbirgt. Vielleicht wäre "Ca-Zertifikate" besser geeignet. Manchen ist die Abkürzung vielleicht nicht so geläufig. |