SSL - Eigene Zertifizierung?

Man erstellt ja ein CSR, was man einer Zertifizierungsstelle übergibt, die einem dann erst das Zertifikat austellen... Nun die Frage, kann man sich das Zertifikat selbst austellen?

3 Antworten

Von Experte franzhartwig bestätigt

iQa1x

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik

30.12.2021, 18:46

Du kannst dir mit openSSL eine eigene Zertifizierungsstelle bauen und mit der dann Zertifikate ausstellen. Allerdings wird das Zertifikat deiner Zertifizierungsstelle halt nirgendwo akzeptiert, also zeigt der Browser immer eine Warnung, da dein Zertifizierungsstellen-Zertifikat nicht im Speicher des Browsers ist.

Intern kannst du das ggf. machen und das Zertifizierungsstellen-Zertifikat bei all deinem Rechnern importieren, dann werden alle ausgestellten Zertifikate auf deinen Rechnern auch als gültig anerkannt, aber halt NUR auf deinen Rechnern.

Woher ich das weiß:Studium / Ausbildung – Informatiker

Justman

Fragesteller

30.12.2021, 22:30

Also müssten die Browser meine Zertifizierungstelle standartmäßig importiert haben?

franzhartwig

31.12.2021, 01:16

@Justman

So ist es.

Justman

Fragesteller

31.12.2021, 13:08

@franzhartwig

Wie importiere ich es? Ich habe nur eine .pem

Justman

Fragesteller

31.12.2021, 13:15

@franzhartwig

Also, ich habe die .pem installiert, was ansich auch geht! jedoch kommt ein neuer Fehler:

MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

iQa1x

31.12.2021, 13:24

@Justman

Hast du das CA Zertifikat importiert ? Und das Seitenzertifikat auch mit diesem unterschrieben ?

Justman

Fragesteller

31.12.2021, 13:28

@iQa1x

Huch, falscher Fehler, meinte den hier:

MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

Justman

Fragesteller

31.12.2021, 13:29

@iQa1x

Und ich hatte die .pem importiert

iQa1x

31.12.2021, 16:27

@Justman

Dann hast du das Webseite-Zertifikat auch als CA Zertifikat erstellt, also mit -extensions v3_ca . Das Serverzertifikat darf kein CA Zertifikat sein.

franzhartwig

31.12.2021, 17:28

@Justman

Das CA-Zertifikat muss als CA-Zertifikat erstellt sein, muss also das entsprechende Flag gesetzt haben. Das Server-Zertifikat darf dieses Flag nicht gesetzt haben. Es muss gesetzt sein:

X509v3 Key Usage: 
        Digital Signature, Non Repudiation, Key Encipherment
      X509v3 Extended Key Usage: 
        TLS Web Server Authentication

Das alles wird in den entsprechenden Konfigurationsdateien festgelegt.

Justman

Fragesteller

01.01.2022, 22:06

@franzhartwig

Wo und wie setze ich das?

franzhartwig

01.01.2022, 22:16

@Justman

Du solltest Dir die Dokumentation von OpenSSL gründlich durchlesen. Wie sieht Deine Konfigurationsdatei aus, mit der Du die Zertifikate ausstellst?

Justman

Fragesteller

02.01.2022, 10:46

@franzhartwig

Nein, habe dank dem ersten Link von @iQa1x hinbekommen

Justman

Fragesteller

02.01.2022, 10:52

@Justman

Nur wie lasse ich Mozilla meine Zertifizierungstelle standartmäßig mit einsetzen?

franzhartwig

02.01.2022, 11:04

@Justman

Einstellungen -> Datenschutz & Sicherheit -> Zertifikate (ziemlich weit unten) -> Zertifikate anzeigen -> Reiter "Zertifizierungsstellen" auswählen

Klicke auf den Button "Importieren".

Justman

Fragesteller

02.01.2022, 11:13

@franzhartwig

Ja, aber dass dies bei allen schon importiert ist! Ohne es manuell importieren zu müssen...

franzhartwig

02.01.2022, 11:18

@Justman

Was heißt "bei allen schon importiert"? Wir sprechen hier von Firefox. Wer oder was ist "bei allen"?

Ohne es manuell importieren zu müssen...

Deine eigene Zertifizierungsstelle kann nicht ohne Dein Zutun im Zertifikatsspeicher von Firefox enthalten sein. Ein Eintrag im Reiter "Server" kommt zustande, wenn Du bei einer Zertifikatswarnung eine Ausnahme hinzufügst. Wenn dort Dein Server drinsteht, lösche ihn raus.

Justman

Fragesteller

02.01.2022, 11:37

@franzhartwig

Dass die Zertifizierungstelle halt standartmäßig importiert ist! Wie bei Let's Encrypt

franzhartwig

02.01.2022, 12:14

@Justman

Ach so, Du möchtest, dass Deine selbstgebaute Zertifizierungsstelle bei den handelsüblichen Browsern als vertrauenswürdig eingestuft wird? Ja, das geht ganz einfach. Werde Mitglied im Browser-CA-Forum, erfülle die Richtilinien für eine vertrauenswürdige Zertifizierungsstelle, lasse Dich auditieren. Und wenn Du dann noch eine entsprechende Marktmacht hast, steht dem nichts mehr im Wege.

Justman

Fragesteller

02.01.2022, 14:39

@franzhartwig

Einfach? Die verlangen Anforderungen, wie, wenn man in den Staat aufgenommen werden will! Da kapiert kein Schwein was! Das einzige, über dass ich verfüge, ist bloß die Zertifizierungstelle!

franzhartwig

02.01.2022, 14:53

@Justman

Einfach?

Ja, einfach. Einfach in dem Sinne, dass die Bedingungen und der Ablauf klar definiert sind. Erfülle die Bedingungen, halte Dich an die Abläufe, und alles wird gut.

Da kapiert kein Schwein was!

Doch, schon. Nur weil Du das nicht verstehst, ist das noch lange nicht "kein Schwein".

Das einzige, über dass ich verfüge, ist bloß die Zertifizierungstelle!

Ja. Aber erkläre doch mal, warum die Welt Dir vertrauen soll?

Justman

Fragesteller

02.01.2022, 15:36

@franzhartwig

Als Beispiel:

Die Mitgliedsorganisation betreibt eine Zertifizierungsstelle, die über einen aktuellen und erfolgreichen WebTrust for CAs-Audit oder ETSI EN 319 411-1 oder ETSI TS 102 042 oder ETSI TS 101 456 Auditbericht eines ordnungsgemäß qualifizierten Auditors verfügt, ist Mitglied einer CWG, und die aktiv Zertifikate an Endeinheiten ausstellt, wobei solche Zertifikate von einem Zertifikatsverbraucher-Mitglied als gültig behandelt werden. Antragstellern, die keine Zertifikate aktiv ausstellen, aber ansonsten die Mitgliedschaftskriterien erfüllen, kann der Status eines assoziierten Mitglieds gemäß Satzung des Statuts gewährt werden. 3.1 für einen vom Forum zu bestimmenden Zeitraum.

Ist einer der Punkte. Nun, woher soll ich ein WebTrust for CAs-Audit hernehmen? Wass soll eine CWG und wie soll ich da beitreten?

iQa1x

02.01.2022, 15:45

@Justman

Das wird so nichts, die Regeln sind mit Absicht sehr streng, Anbieter von Zertifizierungsdienstleistungen sind alles große Firmen oder Organisationen, schließlich ist so eine Aufnahme in die Browserliste eine Lizenz zum Geld drucken (die meisten Firmen verkaufen Zertifikate für um die 100 €/Stück), da ist dann auch der Aufwand gerechtfertigt.

Wie oben geschrieben, die eigene CA bringt dir nur was, wenn du das in deinem eigenen Netzwerk oder aber Firma etc. einsetzen willst, damit du interne Zertifikate nicht über einen Drittanbieter ausstellen lassen willst. Offizielle, anerkannte Zertifikate musst du dir entweder (als Class 1) bei Lets Encrypt ausstellen lassen, oder wenn du einen Shop hast und das Zertifikat vertrauenswürdiger (Class 2 und mehr, d.h. es steht der geprüfte Inhaber drin) sein soll, für Geld bei einem der großen Anbieter kaufen.

franzhartwig

02.01.2022, 16:42

@Justman

Wo hast du diesen Text her?

woher soll ich ein WebTrust for CAs-Audit

Du musst Dich entsprechend auditieren lassen.

Wass soll eine CWG und wie soll ich da beitreten?

CWG dürfte Code Signing Working Group bedeuten. In dem Dokument, das Du zitiert hast (aber nicht genannt hast), sollte die Abkürzung aufgelöst sein.

Alle nötigen Informationen findest Du unter https://cabforum.org. Ja, das ist keine leichte Kost. Und das ist ein Prozess von mehreren Jahren. Und ja, das kostet in der Summe auch Geld, um diese Anforderungen zu erfüllen.

Ganz ehrlich: Du benötigst gutefrage.net, um überhaupt Zertifikate richtig auszustellen. Du benötigst gutefrage.net, um Deinen SSH-Server richtig zu konfigurieren. Du benötigst gutefrage.net, um cURL-Bibliotheken für PHP zu finden und zu verstehen, dass APIs nicht zwangsläufig cURL benötigen.

Und nun möchtest Du, dass die Welt Deiner Zertifizierungsstelle vertraut? Noch einmal meine Frage, die Du nicht beantwortet hast: Warum soll Dir die Welt vertrauen? Was genau soll Microsoft, Google, Mozilla, Apple, etc. veranlassen, Deine Zertifizierungsstelle als vertrauenswürdig zu betrachten? Vertrauen muss man sich erarbeiten. Das ist ein langer Prozess. Bei Letsencrypt hat das vier Jahre gedauert. Nebenbei sei bemerkt, dass Letsencrypt von der gemeinnützigen Internet Security Research Group betrieben wird, die u. a. von der Electronic Frontier Foundation (EFF), der Mozilla Foundation, Akamai, Google und Cisco Systems getragen wird. Alles also große, namhafte Unternehmen mit viel Know-how und finanziellen Mitteln. Trotzdem hat der Prozess vier Jahre gedauert.

NackterGerd

09.05.2022, 00:11

@Justman

Da kapiert kein Schwein was! Das einzige, über dass ich verfüge, ist bloß die Zertifizierungstelle!

Wenn du das nochnichtmal verstehst wie willst du denn verstehen was du da machst.

Hier geht es um Datensicherheit.

Und wenn du davon so wenig Ahnung hast, kannst du natürlich nicht erwarten dass man dies als Sichere Zertifizierung akzeptieren wird.

Und das ist natürlich gut so.

Nur so bleibt das Netz sicher

NackterGerd

09.05.2022, 00:11

@franzhartwig

👍👍👍🤦

FaTech

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik

30.12.2021, 18:18

Klar kann man, ist dann aber ungültig

Justman

Fragesteller

30.12.2021, 18:19

Nein, ich meinte nicht selbst signieren! So, dass diese auch wirklich verifiziert ist, wie bei Let's Encrypt...

NackterGerd

09.05.2022, 00:03

Natürlich wäre ein selbst zertifizierte SSL ein Sicherheitsrisiko.

Damit wären Betrügern Tür und Tor geöffnet

Hallo, ich besitze einen Shop mit einer .AT-Hauptdomain. Nun habe ich mir eine .DE-Domain zusätzlich gekauft, deren einziger Zweck ist (per Redirect 301) auf die .AT-Domain weiterzuleiten. Versuche ich die .DE-Domain aufzurufen, kommt aber die Fehlermeldung "NET::ERR_CERT_COMMON_NAME_INVALID" und das https ist durchgestrichen.

Brauche ich also auch nur für die Seite, die zum Weiterleiten dient eine SSL-Zertifizierung?

...zur Frage

Wie installiert man ein SSL Zertifikat richtig bei XAMPP (Apache)?

Hallo, ich habe mir eine Website erstellt auf meinem Rechner (Windows 10) den ich als Webserver benutze. Allerdings ist der Zugriff nicht geschützt, da ich nicht weiß wie ich das Zertifikat richtig installiere. Ein Zertifikat besitze ich aber.

...zur Frage

SIL-Zertifikat - Cloudflare schlägt fehl?

SSL-Zertifikat - Cloudflare funktioniert nicht? Ich erhalte ständig diese Fehlermeldung. Ich habe bereits den Cache gelöscht. Ich habe zwei Seiten; bei der einen funktioniert es, bei der anderen jedoch nicht, obwohl alles identisch hochgeladen wurde.

Natürlich für jede einzeln, eine eigene SLL Cloudflare Zertifikat

...zur Frage

Wo bekomme ich das SSL Zertifikat von AWS?

Hallo, Ich habe ein SSL Zertifikat bei "AWS Certificate Manager" angefordert für meine Domain und die Verifikation abgeschlossen. Ich sehe kein Botton wo man dann das Zertifikat bekommen kann und den Private-Key. Kann mir jemand sagen wo ich das nun bekomme? Was muss ich nun machen?

...zur Frage

SSL/https - Externe Link von iFrame wird nicht angezeigt?

Ich habe gestern ein SSL-Zertifikat erworben und meine Domain ist damit auch nun per https aufrufbar. Alle gelben Schlösser habe ich nun durch richtige interne Linkangabe grün bekommen.

Zum Problem: Ich habe eine Webseite, welche zwingend auf eine neue Seite weiterleitet, die aus zwei iFrames besteht. Der obere iFrame ist intern und wird angezeigt. Der untere iFrame enthält einen externen Link, es wird eine weiße Seite angezeigt. Das Problem ist, dass meine Webseite auf diesen externen Link angewiesen ist. Wie kann ich das Problem lösen, ohne das https:// rausnehmen zu müssen? Ich bin schon verzweifelt. :/

...zur Frage

SSL Zertifikat geht nicht?

Hallo,

ich verzweifele langsam. Ich versuche seit Tagen mein SSL Zertifikat von Strato in Plesk einzubinden. Nur sagt mir Plesk andauernd, dass es dieses Zertifkat nicht geben würde. Was soll ich machen ?

...zur Frage

HTTPS / SSL Verbindung mit angehängter Portangabe?

Hallo,

Ich habe einen Server aufgesetzt und einen dienst darauf laufen. Der dienst wird über einen port aufgerufen. Da der server sich im Internet befindet, habe ich fur die domain ein SSL Zertifikat erstellt. Wenn die domain aufgerufen wird, bestehtauch eine verschlüsselte Verbindung (HTTPS). Wenn ich nun den port an die adresse anhänge, kann die seite nicht aufgerufen werden. Als ungesicherte Seite (HTTP) funktioniert alles.

Wie bekomme ich eine verschlüsselte Verbindung in kombination mit der Portangabe?

https://beispiel@domain.de (funktioniert komme aber nur auf die Apache Seite)

https://beispiel@domain.de:1234 (funktioniert nicht)

http://beispiel@domain.de:1234 (funktioniert)

...zur Frage

Was enthält eine .pkcs12 Datei?

Guten Abend,

ich hab vom Thema Verschlüsselung, speziell SSL, nicht viel Ahnung.
Hab hier eine .pkcs12 Datei, wenn ich diese mit dem dazugehörigen Passwort öffne, sehe ich drei verschiedene Zertifikate.

Ich brauche diese um meinen Nodejs-Server mit SSL auszustatten.
Kein Self Signed Cert, sondern über eine CA.

Das Problem an der Sache ist, dass ich nicht weiß welches Zertifikat welches ist.

CA
Private Key
Cert Key

Wie finde ich das heraus?

...zur Frage

Domain bei Strato wird kein SSL Zertifikat angezeigt?

Domain bei Strato wird kein SSL Zertifikat angezeigt? Ich habe nur eine DNS Einstellungen, drinnen, nämlich für den A-Record, mehr aber nicht! Und die Domain, die auf den v-Server führt wird in allen Browsern als Unsicher angezeigt. Cloudflare geht, habe ich schon ausprobiert, aber wenn Cloudflare aktiv ist funktioniert über die Domain der TeamSpeak und der MC-Server nicht mehr? Was soll ich machen?

Ich brauche Hilfe!

...zur Frage

Gibt es eine Möglichkeit mit htaccess eine Subdomain SSL zu sichern?

Mit einer Basic-SSL, ohne einer wild card o. multi Domain Zertifizierung?!

Gibt es ein Trick?

...zur Frage

Wie kann ich ein SSL Zertifikat auf einem Apache2 Server aktivieren (Docker)?

Ich versuche schon über mehrere Tage es irgendwie hinzubekommen, dass der Webserver mit "https" erreichbar ist. Das gültige Zertifikat/ die Dateien habe ich schon:

cert.pem  chain.pem  fullchain.pem  privkey.pem

Jedoch läuft der Apache-Webserver als Docker Image. Ich weiß jedoch nicht, wie ich das SSL Zertifikat hinzufüge, da keine "normale" Apache2 Config vorliegt.

<VirtualHost *:443>
  SSLEngine on
  SSLCertificateChainFile "path to fullchain.pem"
  SSLCertificateKeyFile "path to privkey.pem"
</VirtualHost>

Dies habe ich ich dann via in den Apache2 Server-config importiert. (Wichtig zu wissen ist, dass der Pfad "sites-available" nicht exsestiert.

./configfile.conf:/etc/apache2/sites-available/000-default.conf

Port 80, also http funktioniert auch noch weiter... (80 und 443 sind freigegeben)

Weiß jemand, wie ich ein SSL Zertifikat auf einem Apache2 Server aktiviere, welcher auf Docker läuft / Wie ich die Config Datei richtig lade (denke nämlich nicht, dass diese richtig geladen wird)

Hier nochmal meine docker-compose.yml (unvollständing) :

   web:
    build:
        context: ./php
        dockerfile: Dockerfile
    container_name: php73
    depends_on:
      - db
    volumes:
      - /home/pi/web_dev/uploads.ini:/usr/local/etc/php/conf.d/uploads.ini
      - ./php:/var/www/html/
      - ./my_vhost.conf:/vhosts/myapp.conf:ro
      - ./certs:/certs
    ports:
      - 443:443
      - 80:80

Und meine Dockerfile:

FROM php:7.3.3-apache

RUN a2enmod ssl && a2enmod rewrite
RUN mkdir -p /etc/apache2/ssl

COPY /etc/letsencrypt/live/MYIP/*.pem /etc/apache2/ssl/
COPY ../config/000-default.conf /etc/apache2/sites-available/000-default.conf


RUN apt-get update && apt-get upgrade -y
RUN docker-php-ext-install mysqli
RUN mv "$PHP_INI_DIR/php.ini-production" "$PHP_INI_DIR/php.ini"
ADD php.ini /home/pi/web_dev
EXPOSE 80
EXPOSE 443

...zur Frage

SSL Website VServer?

Hallo. Wie kann ich ein SSL Zertifikat auf meinem VServer installieren? Ich arbeite mit Cloudflare also wie kann ich sozusagen bei Cloudflare ein SLL Zertifikat kriegen und es dann auf dem VServer installieren. Ich habe bei cloudflare schon so eine option gefunden wo ich ein langen code und ein key kriege ich glaube das ist das Zertifikat aber wie kann ich es jetzt installieren? Apache2 undso ist alles schon drauf und ich benutze nur PhPMyAdmin und Webmin als Webinterfaces kein Wordpress oderso.

...zur Frage

Http iframe in HTTPS Seite erlauben?

Hallo,

ich habe eine Website und eine Domain die ich mit den Nameserver von Cloudflare nutze. Da Cloudflare ja SSL Zertifikate haben für die Domains habe ich diese Funktion aktiviert. Nun habr ich das Problem ich habe ein HTTP iframe der aber nicht geladen wird auf der Seite, da dieser Inhalt nicht sicher wäre wegen keinen SSL Zertifikat. Gibt es eine Methode mit der ich es in HTTP anzeigen lassen kann auf meiner SSL Seite, ohne dass man im Browser erst den Inhalt erlauben muss?

...zur Frage

Wie kann ich sehen ob mein shop über SSL Läuft?

Guten Tag,

Habe vor kurzem einen Online Shop bei Gambio erstellt (Cloudbasiert).

Wollte jetzt einstellen, dass der Shop über SSL läuft, bin mir jetzt aber nicht sicher, ob dies vielleicht schon der Fall ist, da der Shop schließlich Cloudbasiert ist.

Wenn ich die Domain eingebe erscheint bei mir oben rechts in der Suchleiste ein Schloss und es wird am Anfang der Adresse https// angezeigt.

Heist das, dass der Shop bereits über SSL läuft oder muss ich das auf anderem Wege herausfinden?

Würde mich sehr über eine Antwort freuen.

Mit freundlichen Grüßen.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen