Die eigene (OpenSSL-) CA aufbauen

Seit längerer Zeit bietet mein kleiner Heimserver unter einem DynDNS-Account sowohl IMAP- als auch SMTP-Dienste gegenüber der Außenwelt an.
Keine Panik. Keine Spamschleuder 😉

Damit das ganze sicher ist nutzen beide SSL/TLS.

DamalsTM habe ich einfach so der Zertifikat generiert und jeweils immer die Warnmeldung im Browser und eMailclient abgenickt.

Mein neues Handy ist allerdings nicht ganz so handzahm. Es kennt nur ein paar CAs und alle anderen Zertifikate, welche nicht von einer anderen CA signiert wurden werden einfach abgelehnt (Mit leider nicht ganz aussagekräftigen Fehlermeldungen…).
Einmaliges zustimmen oder sogar das Aufnehmen des Zertifikates als sicheres Zertifikat in den Handyspeicher ist gar nicht möglich.

Der einfachste Weg ist also, seine eigene CA dem Handy bekannt zu machen und mit dieser CA alle nötigen Zertifikate damit zu unterschreiben.

Ein wenig Google brauchte auch gleich ans Licht, dass das Handy das CA-Zertifikat im DER-Format (mit der Dateiendung .cer) haben möchte. Geschwind also mein bestehendes 4096 Bit CA-Zertifikat konvertiert und versucht zu importieren. Leider ignoriert das Handy dieses Zertifikat ohne große Fehlermeldung. Es verschwindet einfach aus dem Speicher.
Weiteres Googlen listete einige Forenthreads, in denen vom Patchen der Firmware die Rede war. Nicht sehr schön.

Da meine ganze CA-Struktur aber sehr gewachsen war habe ich sie neu aufgesetzt. Dabei habe ich „nur“ ein 1024 Bit CA-Zertifikat erstellen lassen.
Dieses lies sich wieder problemlos konvertieren und nun, oh wunder, bot mir das K800i auch beim Kopieren plötzlich einen neuen Bildschirm an: Zertifkat anziegen und importieren.

Dies klappte nun auch ohne Probleme und nun kann ich in aller Ruhe meien Dienste mit diesem CA-Zertifikat signieren und ohne Fehlermeldungen nutzen.

Pratksicherweise lässt sich das DER-Zertifikat auch in Windows importieren und jetzt sind wenigstens Outlook und der Internet Explorer ruhig gestellt.

Um seiene eigene CA zu betreiben sollte man das CA.pl-Skript verwenden, welches in jeder Linux-Distribution enthalten sein sollte.
Bei Debian ist es unter /usr/lib/CA.pl zu finden.

Bei der Verwendung hält man sich am besten an dieses Tutorial: Your-Own-OpenSSL-CA @ home.lfms.nl. Dieses Tutorial enthält jedoch einen dicken Fehler beim Entschlüsseln des privaten Schlüssels:
openssl rsa < newreq.pem > newkey.pem Enter the passphrase for the server certificate.
Stattdessen muss es
openssl rsa < newkey.pem > newkey.pem Enter the passphrase for the server certificate.
heißen.

Konvertiert wird so ein Zertifkat ins DER-Format mittels
openssl x509 -setalias “Yourcorp Root CAâ€? -outform DER -in demoCA/cacert.pem -out /root/cacert.der
Je nach geschmak dann noch nach cacert.cer umbennenen. (Windows ist es egal, er importiert es richtig; Mein Handy möchte das es .cer ist)

Eine Antwort auf „Die eigene (OpenSSL-) CA aufbauen“

Schreibe einen Kommentar