Deutschsprachige CAcert Support Liste

[Bernhard Froehlich <ted AT convey.de>]

Marcel Silberhorn wrote:
> [...]
> Nun zu meinen Problemen:
> Ich habe wie gesagt meine Client-Zertifikate im Management "erneuert" und
> dachte sie werden dann nicht nur von der gültigkeit verlängert sondern
> enthalten dann auch automatisch meinen vollen Namen, etc.
> dem ist aber leider nicht so! Im Cert erscheint immer noch WoT User ;/
>
> 1. wo finde ich den Private-Key damit ich diesen in meine aktuelle FF
> instanz übernehmen kann und damit auch meine Zerts verwalten kann?
>
> nach ein paar tests konnte ich keine Datei ausfindig machen, welche beim
> erstellen der private Keys (zumindest in der größe) verändert werden. Wo zum
> Teufel werden diese Daten also gespeichert?!
>
> 2. muss ich um Zertifikate mit vollem Namen zu erhalten die alten
> zunächt löschen/widerrufenund mir dann komplett neue erstellen?
>
> danke schonmal und LG
>  Marcel
>   
Hi Marcel,

erstmal muss ich darauf hinweisen dass ich hauptsächlich mit der Mozilla 
Suite bzw. SeaMonkey arbeite und mich deswegen mit dem Firefox 
(besonders seiner Menüstruktur) nicht besonders gut auskenne... Mit 
Client-Zertifikaten habe ich mich aber schon ein bischen befasst... ;)

Erstmal die Anwort auf die zweite Frage, Du musst das alte Zertifikat 
nicht löschen oder revoken (außer CAcert verlangt das, würde mich aber 
wundern). Du kannst problemlos mehrere Zertifikate in deinem Browser 
aufbewahren, bei eMail-Zertifikaten ist das wegen dem Entschlüsseln 
alter Mails sogar wichtig.

Dann die Frage wie man an ein Zertifikat mit Namen kommt.

Mein erster Vorschlag wäre mal. dass Du mit dem Browser einen neuen 
Private Key anlegst und den zertifizieren lässt (mit dem CACert 
Menüpunkt "Client Zertifikate->Neu" bzw. 
https://secure.cacert.org/account.php?id=3, dann keinen CSR eingeben 
sondern einfach weiter klicken). Das ist sicher die einfachste Variante, 
und m.E. ist es beim Client-Zertifikaten nicht so tragisch wenn sich der 
Private Key ändert, man hat da ja keine alten eMails die man noch 
entschlüsseln will. Ansonsten kannst Du ja auch wie oben erwähnt den 
alten Key weiter behalten, dann hast Du halt im Zweifelsfall zwischen 
den beiden Zertifikaten auszuwählen wenn Du dich authentisieren sollst. 
Außerdem ist's vom Sicherheitsstandpunkt her ein (kleines) bischen 
besser wenn man Keys nicht zu lange verwendet.

Einen "Erneuern"-Menüpunkt in der Zertifikatsverwaltung gibts bei mir 
leider nicht, da kann ich Dir nicht sagen wie er funktioniert.

Wenn Du wirklich das machen willst was Du geschrieben hast dann müsste 
es auch möglich sein den Schlüssel samt Zertifikat exportieren (heißt 
bei mir "Backup" in der Zertifikatsverwaltung), dann mit OpenSSL den 
Private Key aus dem erstellten PKCS12-File rauszuzeln, mit OpenSSL einen 
Certificate Signing Request ("CSR") erstellen, den bei einem neuen 
Zertifikatsantrag eintragen, das dann generierte Zertifikat mit dem 
Private Key (per OpenSSL) zu einem PKCS12 zusammenpacken und dann in die 
Zertifikatsverwaltung importieren.
Das hört sich etwas komplizierter an und ist es auch wohl, ich hab's 
selber noch nicht ausprobiert. ;)
Wenn Du einen ernsthaften Grund siehst diesen Weg zu beschreiten kann 
ich am Wochenende mal versuchen ob ich rausfinde, welche 
OpenSSL-Befehlsfolge man dafür verwenden kann.

MfG
Ted
;)

--
PGP Public Key Information
Download complete Key from http://www.convey.de/ted/tedkey_convey.asc
Key fingerprint = 31B0 E029 BCF9 6605 DAC1  B2E1 0CC8 70F4 7AFB 8D26

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature