immerda:Zertifikate: Unterschied zwischen den Versionen

Aus immerda
Zur Navigation springen Zur Suche springen
 
(45 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 2: Zeile 2:
 
__TOC__
 
__TOC__
 
</div>
 
</div>
Auf dieser Seite sind verschiedene Informationen zu den verschiedenen Zertifikaten dokumentiert werden. Allfällige Änderungen werden wir hier ebenfalls notieren. Bitte beachtet jedoch, dass diese Seite keinen Anspruch an Vollständigkeit geniesst.
+
Informationen zu den von uns verwendeten Zertifikate findest du unter [https://www.immerda.ch/services/certs.html www.immerda.ch]
  
Mehr Information zu SSL (resp. https), was dies genau ist und inwiefern dies funcktioniert, siehe hier: [[SSL-Zertfikate]]
+
Mehr Information zu SSL (worunter z.B. https fällt), was dies genau ist und inwiefern dies funktioniert, siehe hier: [[immerda:SSL-Zertifikate]]
  
Wir verwenden zwei so genannte Trusted Third Parties oder Vertrauensstellen um unsere Seiten per SSL (resp. https) zu sichern. Dies hat historische wie auch pragmatische Gründe:
+
Wir verwenden zwei so genannte [http://de.wikipedia.org/wiki/Trusted_Third_Party Trusted Third Parties] oder Vertrauensstellen um unsere Seiten per SSL zu sichern. Dies hat historische wie auch pragmatische Gründe:
  
Auf der Domain '''sicher.immerda.ch''' ist ein von Thawte signiertes Zertifikat zu finden, auf allen anderen sind von CACert signierte Zertifikate zu finden.  
+
Auf allen '''*.immerda.ch''' Domains ist ein von Ghandi signiertes Zertifikat zu finden, auf allen anderen sind von unssere CA signierte Zertifikate zu finden.  
  
 +
'''Bitte beachte, dass du, um sicher zu gehen, dass eine korrekte SSL-Verbindung zu Stande gekommen ist und auch wirklich alles korrekt abläuft, du in deinem Browser keinerlei Meldung bezüglich eines Zertifikatsfehlers bekommen solltest. (Das sind genaue jene, welche leider immer so gerne ohne zu lesen wegklickt werden!). Damit auch die immerdaCA-signierten Seiten korrekten aufgerufen werden können, musst du das so genannte Root-Zertifikat von der immerdaCA importieren. Für einen genauen beschrieb siehe weiter unten.'''
 +
 +
==Fingerprints==
 +
 +
Unsere Fingerprints findest du [https://www.immerda.ch/services/certs.html hier] oder als [https://www.immerda.ch/assets/certs/certs.txt Textdatei] mit der [https://www.immerda.ch/assets/certs/certs.txt.asc Signatur zum Dokument].
 +
 +
== Let's encrypt ==
 +
 +
Grundsätzlich versuchen wir überall, wo es möglich ist Zertifikate zu verwenden, welche durch [https://letsencrypt.org Let's encrypt] signiert sind. Auch euer Hosting kann ganz einfach darauf umgestellt werden. Alle gängigen Browser und Systeme sollten Zertifikate von dieser CA akzeptieren.
 +
 +
== immerdaCA ==
 +
 +
Aus [https://www.immerda.ch/info/2014-06-06-ssl-zertifikate.html verschiedenen Gründen] hatten wir uns - vor der Verfügbarkeit von Let's encrypt - dazu entschlossen eine eigene Zertifizierungsstelle aufzubauen. Diese verwendeten wir um Zertifikate für alle jene Dienste zu beglaubigen, die nicht unter *.immerda.ch laufen. Nach und nach migrieren wir diese Zertifikate nach Let's encrypt, trotzdem werden wir die CA weiterhin aktiv behalten, da ggf. nicht alle Zertfifikate mit Let's encrypt signiert werden können.
 +
 +
Damit die Zertifikate, welche von dieser CA beglaubigt wurden, von deinem Rechner akzeptiert werden, musst du die immerdaCA in dein System importieren.
 +
 +
=== immerdaCA überprüfen und importieren ===
 +
 +
Wenn du unseren GPG-Key bereits hast, kannst du die Signatur unter Linux folgendermassen überprüfen:
 +
 +
<pre>
 +
wget https://www.immerda.ch/assets/certs/immer-ca.crt
 +
wget https://www.immerda.ch/assets/certs/immer-ca.crt.asc
 +
gpg --verify immer-ca.crt.asc
 +
</pre>
 +
 +
==== Debian / Ubuntu ====
 +
 +
Falls alles klappt, kannst du z.B. in Debian oder Ubuntu das Zertifikat importieren:
 +
 +
<pre>sudo mkdir /usr/share/ca-certificates/extra
 +
sudo cp immer-ca.crt /usr/share/ca-certificates/extra/
 +
sudo dpkg-reconfigure ca-certificates
 +
</pre>
 +
 +
==== Fedora ====
 +
 +
Für Fedora basierte Systeme sind folgende Schritte nötig:
 +
 +
<pre>
 +
sudo cp immer-ca.crt /etc/pki/ca-trust/source/anchors/
 +
sudo update-ca-trust extract
 +
</pre>
 +
 +
==== Chromium / Chrome ====
 +
 +
Und in Chromium unter Linux nimmst du das Zertifikat mit folgendem Befehle auf:
 +
 +
<pre>
 +
certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n immerdaCA -i immer-ca.crt  # Nur für Chromium
 +
</pre>
 +
 +
Unter anderen Betriebssystemen kannst du den Key importieren, indem du [https://www.immerda.ch/assets/certs/immer-ca.crt hier klickst], allenfalls die Datei öffnest und in dem Fenster, das aufgeht den Fingerprint überprüfst und dann auf akzeptieren oder importieren klickst. Der Fingerprint lautet:
 +
 +
<pre>
 +
SHA1: DC B9 9E BF 59 94 41 45 B2 9D 29 53 0B FD 1B B4 49 A9 1A 82
 +
</pre>
 +
 +
Überprüfe diesen doch jedoch mit den Fingerprints, welche [https://www.immerda.ch/assets/certs/certs_signed.txt hier] vorhanden sind.
 +
 +
== Eigene Zertifikate ==
 +
 +
Für Webhostings haben wir auch die Möglichkeit, dass ihr ein [[immerda:Eigenes_Zertifikate|eigenes Zertifikat]] haben könnt. [https://www.immerda.ch/about/contact.html Kontaktiert] uns diesbezüglich einfach.
  
'''Bitte beachte, dass du um sicher zu gehen, dass eine korrekte SSL-Verbindung zu Stande gekommen ist und auch wirklich alles korrekt abläuft. Du in deinem Brwoser keinerlei Meldung bezüglich eines Zertifikatsfehlers bekommen sollte. (Ja das sind diese, die man immer so gerne wegklickt!). Damit auch die CACert-signierten Seiten korrekten aufgerufen werden können, musst du das so genannte Root-Zertifikat von CACert importieren. Für einen genauen beschrieb siehe weiter unten.'''
 
 
==CACert==
 
==CACert==
  
Mehrheitlich verwenden wir Zertifikate, welche von der unabhängigen und unkommerziellen Zertifizierungstelle (die sogenannte '''trusted third party''') CaCert [[http://www.cacert.org]] signiert worden sind. Damit euer Browser, Chat-Client usw. unsere Zertifikate als Valid-Signierte akzeptiert müsst ihr jedoch noch die Root-Zertifikate von CaCert bei euch lokal importieren, da diese leider noch nicht in den gängigen Browsern integriert sind. Mehr dazu, wieso das so ist und wieso CaCert trotzdem vertraut werden kann, soll in Zukunft noch folgen.
+
Früher verwendeten wir mehrheitlich Zertifikate, welche von der unabhängigen und unkommerziellen Zertifizierungstelle (die sogenannte http://de.wikipedia.org/wiki/Trusted_Third_Party) [http://www.cacert.org CaCert] signiert worden sind.  
  
Im Moment ist für euch vor allem von Interesse, die zwei Root-Zertifikate zu importieren, damit eure Browser unsere Zertifikate ohne Meldung akzeptieren und ihr somit sicher gehen könnt, das ihr euch auf einer sauberen abgesicherten Leitung verbindet.
+
Für euch ist es wichtig, dass ihr die zwei Root-Zertifikate importiert, damit eure Browser unsere Zertifikate ohne Meldung akzeptieren und ihr dadurch sicher gehen könnt, das ihr über eine sauber abgesicherten Verbindung auf unsere Seiten zugreift.
  
===Importieren===
+
===CACert Importieren===
  
Zum importieren der Zertifikate müsst ihr die Seite [http://www.cacert.org/index.php?id=3 hier] besuchen und Class 1 und Class 3 Root Zertifikat importieren. Meistens reicht es aus, wenn ihr einfach das ''PEM''-Format anwählt und das importieren erlaubt.
+
Zum Importieren der Zertifikate müsst ihr die Seite [http://www.cacert.org/index.php?id=3 hier] besuchen und das Class 1 und Class 3 Root Zertifikat importieren oder einfach gleich direkt [http://www.cacert.org/certs/root.crt hier] und [http://www.cacert.org/certs/class3.crt hier] klicken.
  
==ftp1.glei.ch==
+
Meistens reicht es aus, wenn ihr einfach das ''PEM''-Format anwählt, die angegeben Fingerprints mit denjenigen überprüfen, die euer Browser angibt und anschliessend das Importieren anschliessend erlaubt.
  
* Self-signed Cert für ersten FTP-Node
+
Wo ihr auf der Seite klicken müsste, ist in diesem Screenshot in Rot beschrieben:
  
'''Fingerprint:'''
+
[[Bild:cacert_cert_import.png]]
SHA1 Fingerprint=2A:F0:9E:9B:34:D8:D0:E6:34:A6:4C:28:EC:7F:BC:4D:7A:17:51:28
 
  
==ftp2.glei.ch==
 
  
* Self-signed Cert für zweite FTP-Node
+
Eine weitere Möglichkeit ist das überprüfen der Fingerprints, mit denjenigen, die dein Browser angibt.
  
'''Fingerprint:'''
 
SHA1 Fingerprint=DF:82:A3:F6:19:05:C5:BA:FB:A2:48:40:E2:8A:3E:D4:E0:D8:C5:83
 
  
 
[[Category:Immerda]]
 
[[Category:Immerda]]
 +
[[Category:SSL]]

Aktuelle Version vom 14. Januar 2017, 13:17 Uhr

Informationen zu den von uns verwendeten Zertifikate findest du unter www.immerda.ch

Mehr Information zu SSL (worunter z.B. https fällt), was dies genau ist und inwiefern dies funktioniert, siehe hier: immerda:SSL-Zertifikate

Wir verwenden zwei so genannte Trusted Third Parties oder Vertrauensstellen um unsere Seiten per SSL zu sichern. Dies hat historische wie auch pragmatische Gründe:

Auf allen *.immerda.ch Domains ist ein von Ghandi signiertes Zertifikat zu finden, auf allen anderen sind von unssere CA signierte Zertifikate zu finden.

Bitte beachte, dass du, um sicher zu gehen, dass eine korrekte SSL-Verbindung zu Stande gekommen ist und auch wirklich alles korrekt abläuft, du in deinem Browser keinerlei Meldung bezüglich eines Zertifikatsfehlers bekommen solltest. (Das sind genaue jene, welche leider immer so gerne ohne zu lesen wegklickt werden!). Damit auch die immerdaCA-signierten Seiten korrekten aufgerufen werden können, musst du das so genannte Root-Zertifikat von der immerdaCA importieren. Für einen genauen beschrieb siehe weiter unten.

Fingerprints

Unsere Fingerprints findest du hier oder als Textdatei mit der Signatur zum Dokument.

Let's encrypt

Grundsätzlich versuchen wir überall, wo es möglich ist Zertifikate zu verwenden, welche durch Let's encrypt signiert sind. Auch euer Hosting kann ganz einfach darauf umgestellt werden. Alle gängigen Browser und Systeme sollten Zertifikate von dieser CA akzeptieren.

immerdaCA

Aus verschiedenen Gründen hatten wir uns - vor der Verfügbarkeit von Let's encrypt - dazu entschlossen eine eigene Zertifizierungsstelle aufzubauen. Diese verwendeten wir um Zertifikate für alle jene Dienste zu beglaubigen, die nicht unter *.immerda.ch laufen. Nach und nach migrieren wir diese Zertifikate nach Let's encrypt, trotzdem werden wir die CA weiterhin aktiv behalten, da ggf. nicht alle Zertfifikate mit Let's encrypt signiert werden können.

Damit die Zertifikate, welche von dieser CA beglaubigt wurden, von deinem Rechner akzeptiert werden, musst du die immerdaCA in dein System importieren.

immerdaCA überprüfen und importieren

Wenn du unseren GPG-Key bereits hast, kannst du die Signatur unter Linux folgendermassen überprüfen:

wget https://www.immerda.ch/assets/certs/immer-ca.crt
wget https://www.immerda.ch/assets/certs/immer-ca.crt.asc
gpg --verify immer-ca.crt.asc

Debian / Ubuntu

Falls alles klappt, kannst du z.B. in Debian oder Ubuntu das Zertifikat importieren:

sudo mkdir /usr/share/ca-certificates/extra
sudo cp immer-ca.crt /usr/share/ca-certificates/extra/
sudo dpkg-reconfigure ca-certificates

Fedora

Für Fedora basierte Systeme sind folgende Schritte nötig:

sudo cp immer-ca.crt /etc/pki/ca-trust/source/anchors/
sudo update-ca-trust extract

Chromium / Chrome

Und in Chromium unter Linux nimmst du das Zertifikat mit folgendem Befehle auf:

certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n immerdaCA -i immer-ca.crt   # Nur für Chromium

Unter anderen Betriebssystemen kannst du den Key importieren, indem du hier klickst, allenfalls die Datei öffnest und in dem Fenster, das aufgeht den Fingerprint überprüfst und dann auf akzeptieren oder importieren klickst. Der Fingerprint lautet:

SHA1: DC B9 9E BF 59 94 41 45 B2 9D 29 53 0B FD 1B B4 49 A9 1A 82

Überprüfe diesen doch jedoch mit den Fingerprints, welche hier vorhanden sind.

Eigene Zertifikate

Für Webhostings haben wir auch die Möglichkeit, dass ihr ein eigenes Zertifikat haben könnt. Kontaktiert uns diesbezüglich einfach.

CACert

Früher verwendeten wir mehrheitlich Zertifikate, welche von der unabhängigen und unkommerziellen Zertifizierungstelle (die sogenannte http://de.wikipedia.org/wiki/Trusted_Third_Party) CaCert signiert worden sind.

Für euch ist es wichtig, dass ihr die zwei Root-Zertifikate importiert, damit eure Browser unsere Zertifikate ohne Meldung akzeptieren und ihr dadurch sicher gehen könnt, das ihr über eine sauber abgesicherten Verbindung auf unsere Seiten zugreift.

CACert Importieren

Zum Importieren der Zertifikate müsst ihr die Seite hier besuchen und das Class 1 und Class 3 Root Zertifikat importieren oder einfach gleich direkt hier und hier klicken.

Meistens reicht es aus, wenn ihr einfach das PEM-Format anwählt, die angegeben Fingerprints mit denjenigen überprüfen, die euer Browser angibt und anschliessend das Importieren anschliessend erlaubt.

Wo ihr auf der Seite klicken müsste, ist in diesem Screenshot in Rot beschrieben:

Cacert cert import.png


Eine weitere Möglichkeit ist das überprüfen der Fingerprints, mit denjenigen, die dein Browser angibt.