Die einfachste Methode, Client-Zertifikate zu erhalten
Angenommen, Sie sind ein Neuling und haben Ihr Konto bei CAcert erstellt. Sie haben auch den PING-Test von CAcert an Ihre primäre E-Mail-Adresse bestanden. Sie haben auf die Bestätigungs-E-Mail geantwortet, die den Verifizierungslink und diesen Satz enthält: "Sobald Ihr Konto verifiziert ist, können Sie nach Herzenslust Zertifikate ausstellen!". Und Sie haben auf diese Verknüpfung geklickt.
Kleiner Abstecher zum Thema:
Die Zustellung der PING-Testnachricht erfordert eine ungesicherte Übertragung vom CAcert-Server zu Ihrem Mail-Server. Allerdings verlangen immer mehr E-Mail-Server inzwischen gesicherte Übertragungen, häufig unter Verwendung des TLS-Protokolls, bei dem der Mailserver Vertrauen in CAcert haben muss, um die Nachricht zu akzeptieren. Unglücklicherweise ist ein solches Vertrauen fast immer nicht vorhanden, da der empfangende Server in der Regel kein CAcert-Root-Zertifikat installiert hat, weshalb die Nachricht nicht übertragen wird. Wenn der Empfangsserver Ihnen gehört oder Sie eine Vereinbarung mit dessen Administrator treffen können, können diese Wurzelzertifikate installiert werden oder ausnahmsweise kann die TLS-Verschlüsselungsanforderung für eine Weile ausgeschaltet werden.
Das Problem tritt auf, wenn Sie einen öffentlichen Mailserver (gmail.com usw.) verwenden, bei dem Sie einen solchen Eingriff nicht wünschen können. Dann müssen Sie mit dem Administrator eines befreundeten Unternehmens vereinbaren, dass er für eine kurze Zeit die Post für Ihre Domäne entgegennimmt, Ihrer Domäne eine E-Mail-Adresse zuweist und an Sie gerichtete Nachrichten ohne TLS-Sicherheit oder CAcert-Zertifikatsinstallation empfängt. Gleichzeitig müssen Sie Ihrer DNS-Domäne einen MX-Eintrag hinzufügen, der auf den E-Mail-Server dieses Unternehmens verweist. Wenn Ihre Domäne über einen TXT-Eintrag mit SPF-Definition verfügt, müssen Sie diesen ebenfalls ordnungsgemäß aktualisieren. Details finden Sie unter Wie der Ping-Test funktioniert.
Im Februar 2019 hat CAcert das sichere Übertragungsprotokoll TLS 1.2 installiert, das auch für Ping E-Mail verwendet wird. Dieses Protokoll ermöglicht es, eine verschlüsselte Verbindung für Nachrichtenübertragungen nach dem SMTP-Protokoll aufzubauen. Eine verschlüsselte Verbindung kann erfolgreich aufgebaut werden, wenn der Mailserver des Empfängers ebenfalls das TLS 1.2 Protokoll unterstützt (RFC 5246, alle öffentlichen Mailserver heutzutage). TLS 1.2 hat weniger strenge Anforderungen an Peers als die vorherigen Versionen des TLS-Protokolls. Das Ping-E-Mail geht also durch, obwohl der Server des Empfängers ungesicherte Verbindungen ablehnt. Darüber hinaus entfällt die strenge Überprüfung der Wurzeln der "bekannten" CAs auf beiden Seiten der Übertragung. Es bleiben also nur die Änderungen der DNS-Einträge Ihrer Domain. |
Brauchen Sie Ihr Client-Zertifikat?
Natürlich brauchen Sie es. Sie können damit viele Aktionen durchführen: Ihre E-Mails signieren/verschlüsseln, sich in Ihr Konto einloggen, CAcert-Webseiten und CAcert-gesicherte Webseiten besuchen, ...
Dann besuchen Sie CAcert mit Palemoon oder Seamonkey - wichtig! Es gibt Schwierigkeiten mit anderen Browsern (Firefox, Chrome, Opera, IE, Safari, Edge, ...) Einige von ihnen schaffen es nicht, CSRs zu erstellen oder private Schlüssel zu speichern, einige unterstützen die Erstellung von CSRs überhaupt nicht!
Palemoon ver. 28.8.3 (64-bit) und Seamonkey ver. 2.49.5 (64-bit) wurden erfolgreich auf 202002 getestet.
Holen Sie sich die beiden CAcert's Roots und installieren Sie diese (ohne Anmeldung, "Root certificate" im rechten Menü). Sie sind benannt als: Klasse 1 PKI-Schlüssel, Klasse 3 PKI-Schlüssel. Wählen Sie das PEM- oder DER-Format. Der Browser wird es sofort installieren. Bei Class 1 PKI Key bestätigen Sie bitte die Vertrauenswürdigkeit.
Melden Sie sich dann mit Ihrem Benutzernamen/Passwort an. Gehen Sie im Menü der CAcert-Website auf "Client-Zertifikate -> Neu". Die Seite "Neues Client-Zertifikat" wird angezeigt.
Vergessen Sie nicht, Ihre E-Mail-Adresse hinzuzufügen (Kontrollkästchen) und die CCA zu akzeptieren (weiteres Kontrollkästchen). Drücken Sie dann auf Weiter.
Wählen Sie die Chiffrierstärke des Schlüssels (Schlüsselgröße in Bits) und klicken Sie auf die breite Schaltfläche "Schlüsselpaar im Browser erzeugen".
Der Browser sollte dann in der Lage sein, erfolgreich eine CSR zu generieren und sie an den CAcert CA-Server zu senden, der dann Ihr Client-Zertifikat erstellt. Wenn Ihr Client-Zertifikat fertig ist, sehen Sie es als Base64-Text und Informationen. Oben finden Sie drei Links, die Ihnen zeigen, wie Sie das Zertifikat herunterladen und installieren können.
Am einfachsten ist es, den Installationslink zu verwenden. Oder Sie speichern Ihr neues Client-Zertifikat als Datei und installieren es dann über den Zertifikatsmanager im Browser:
Palemoon: "blaue Palemoon-Schaltfläche in der oberen linken Ecke des Fensters -> Einstellungen -> Einstellungen -> Erweitert -> Zertifikate anzeigen -> Registerkarte Ihre Zertifikate -> Importieren ...";
Seamonkey: " Menü Bearbeiten -> Einstellungen -> Datenschutz & Sicherheit -> Zertifikate -> Zertifikate verwalten -> Registerkarte Persönlich -> Importieren ...").
Danach sollten Sie in der Lage sein, unser Wiki mit HTTPS zu sehen und, was noch wichtiger ist, Ihre E-Mails zu signieren und zu verschlüsseln oder sich mit Ihrem brandneuen Client-Zertifikat bei Ihrem CAcert-Konto anzumelden.
Zum Schluss noch eine wichtige Warnung:
Beide Browser, Palemoon und Seamonkey, speichern alle Zertifikate - jeder in seinem eigenen Repository. Wenn Sie also sowohl CAcert-Roots als auch Ihre Client-Zertifikate in einem anderen Repository (z.B. dem eines Betriebssystems wie Windows) installieren wollen, müssen Sie dort Root-Zertifikate installieren und Ihre Client-Zertifikate "sichern" (z.B. in eine .p12-Datei exportieren). Sie können diese aus dem Cert Manager von Palemoon oder Seamonkey exportieren, siehe oben und am Ende "Exportieren..." verwenden. Die exportierte Datei wird Ihr Zertifikat und Ihren privaten Schlüssel enthalten. Der Cert Manager wird Sie daher nach einem Passwort fragen (zweimal eingeben), mit dem Sie die Datei entsperren müssen, wenn Sie das Zertifikat später importieren wollen. Möglicherweise müssen Sie es sowohl in ein Betriebssystem als auch in andere Browser importieren, wenn Sie diese anstelle von Palemoon oder Seamonkey bevorzugen.
Die Palemoon und Seamonkey Browser haben zwar jeweils einen eigenen Zertifikatspeicher, aber Sie können sie so einstellen, dass sie CA-Root- und Zwischenzertifikate aus dem Zertifikatspeicher des Windows-Systems lesen. Sie finden diese Einstellung auf der Konfigurationsseite about:config als security.enterprise_roots.enabled und können sie von false auf true umstellen.
Articles about getting a client cert
All the wiki contents are available via both HTTP and HTTPS !
Frequently Asked Questions (Issues, Tutorials, Error solving - do not miss!)
Procedures for client certificates:
Windows:
How to create a client certificate in Windows (including PKCS12 backup) with the XCA utility
How to create a client certificate in Windows (including PKCS12 backup) with MMC Certificates module
Unix-Linux:
CSR (Certificate Signing Request)