Skip to Content.
Sympa Menu

cacert-de - Re: Zertifikat exportieren

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: Zertifikat exportieren


Chronological Thread 
  • From: Michael Tänzer <NEOatNHNG AT users.sourceforge.net>
  • To: cacert-support AT lists.cacert.org, Deutschsprachige CAcert Support Liste <cacert-de AT lists.cacert.org>
  • Subject: Re: Zertifikat exportieren
  • Date: Sat, 04 Jul 2009 10:41:38 +0200
  • Authentication-results: lists.cacert.org; dkim=pass (1024-bit key) header.i= AT googlemail.com; dkim-asp=none
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=googlemail.com; s=gamma; h=sender:message-id:date:from:user-agent:mime-version:to:subject :references:in-reply-to:x-enigmail-version:openpgp:content-type; b=sgOpz/LX6lVgRmUSQBg9qUmEhS8qanJml1AmrrBvQTEW2Mvj6kgmYBPprGvcNM+hYU P7s0x4pkmhQmiCeLiQugjs17JqIGdkefwpiDXeWQGULBhwwRUDX6PojFF0DZiSxc8IEa 3Dte6/bknlxvC/UhHeS9t7zm3Tt5hzC76dxeE=
  • Openpgp: id=9940BEF1

Hallo Markus,

markus AT maalbert.de
 schrieb:
> Nun habe ich auf der homepage von Cacert.org das zertifikat erneuert.
> 
> wie bekomme ich das neue Zertifikat nun in meinen Browser????
> 
> 
> Wenn ich auf "klicken Sie hier" klicke dann kommt die Frage ob ich das
> Zertifikat installieren will. Ich gehe auf installieren. Und anschliesend
> bestätige ich das ich mir sicher bin mit einem Ok
> 
> Nun schaue ich im Zertifikat Manager nach und in der Karte "Personal" 
> befindet
> sich nur die "CA Cert Signing Authority" 
> 
> Mein eigenes Zertifikat findet sich unter "Intermediate"
> 
> Wenn ich das Zertifikat nun exportieren will als .p12 und mit Openssl in
> öffentlich.Pem  und privat.pem zerlegen will klappt das nicht.
> 
> Meine vermutung ist, das der Import nach Opera nicht funktioniert hat. 

Die Vermutung ist richtig.

> Kann ich das Zertifikat nicht irgendwo direkt herunterladen? Also komplett
> öffentlich und privat? ICh finde den Umweg über den Browser wirklich seeeehr
> umständlich und kostet mich den letzten Nerv.
> 
> Oder gibt es für dei verlängerten Zertifakte keinen Privaten Schlüssel mehr?
> und ich nehm den von meinem ersten Zertifakt einfach immerwieder?

Genau so funktioniert das, der private Schlüssel wird _niemals_
herausgegeben, auch nicht an CAcert, sondern wird bei der beim Anfordern
des Zertifikats vom Browser generiert welcher dann wiederum den
_öffentlichen_ Schlüssel an CAcert sendet damit dieser unterschrieben
wird. Der öffentliche Schlüssel + Unterschrift ist das was man gemeinhin
als Zertifikat bezeichnet. Die Browser zeigen das aber etwas anders an,
die verknüpfen den Eintrag in ihrer Zertifikatsverwaltung zusätzlich
noch mit dem privaten Schlüssel, so dass man nicht einfach nur das
Zertifikat löschen könnte. Firefox (und der IE?) ist immerhin so schlau,
dass er wenn man ein neues Zertifikat importiert einfach das alte
Zertifikat aktualisiert, das scheint Opera nicht zu schmecken (der
beschwert sich, dass er schon das gleiche Zertifikat hat).

Es führt also anscheinend kein Weg an einer externen Lösung vorbei. Da
gibt es dann zwei Optionen:

Bei beiden Möglichkeiten muss man das verlängerte Zertifikat als Datei
speichern (Rechtsklick auf den Link "Klicken Sie hier, um ihr Zertifikat
zu installieren" -> "Verlinkten Inhalte speichern als…")

1. Mit einem anderen Browser (z.B. Firefox):
* Zertifikat aus Opera exportieren (PKCS12 mit privatem Schlüssel)
* In einem anderen Browser importieren
* In dem anderen Browser zusätzlich das verlängerte Zertifikat importieren
* Aus dem anderen Browser exportieren und wieder in Opera importieren
(vorher das alte Zertifikat in Opera löschen weil der sich ja sonst
wieder beschwert)

2. Mit OpenSSL:
* Zertifikat aus Opera exportieren (PKCS12 mit privatem Schlüssel)
* openssl pkcs12 -nocerts -in exportierte_datei.p12 -out
privater_schluessel.pem
* openssl pkcs12 -export -out
neues_zertifikat_inkl_privatem_schluessel.p12 -in neues_zertifikat.usr
-inkey privater_schluessel.pem
* neues_zertifikat_inkl_privatem_schluessel.p12 in Opera importieren
(vorher das alte Zertifikat in Opera löschen weil der sich ja sonst
wieder beschwert)

Vielleicht solltest du als Opera-Benutzer einen Verbesserungsvorschlag
an die Entwickler senden, damit das Verfahren einfacher wird.

Viele Grüße
Michael

Attachment: signature.asc
Description: OpenPGP digital signature




Archive powered by MHonArc 2.6.16.

Top of Page