Skip to Content.
Sympa Menu

cacert-de - Re: Client-Zertifikat kann nicht installiert werden

Subject: Deutschsprachige CAcert Support Liste

List archive

Re: Client-Zertifikat kann nicht installiert werden


Chronological Thread 
  • From: Werner Dworak <werner.dworak AT cacert.org>
  • To: cacert-de AT lists.cacert.org, jan.ulrich AT hasecke.com
  • Subject: Re: Client-Zertifikat kann nicht installiert werden
  • Date: Wed, 21 Aug 2013 10:42:28 +0200

Hallo Jan Ulrich Hasecke,

> ein Bekannter, der noch nicht abschließend zertifiziert ist, kann das
> Client-Zertifikat nicht herunterladen. 

Was meinst Du mit "noch nicht abschließend zertifiziert"?

Auch völlig ohne Assurance kannst Du Client- und Server-Zertifikate
bekommen, jedoch nur anonym. Damit wird lediglich bestätigt, dass es
diese E-Mail-Adresse gibt.

Für namentliche Zertifikate muss der Betreffende mindestens 50
Assurance-Punkte haben, also mindestens zwei Assurer getroffen haben.

Nur für Code-Signing ist es erforderlich, Assurer zu sein, also 100
Assurance-Punkte zu haben und die Assurer-Prüfung bestanden zu haben.

> Beim Drücken des Buttons passiert weder in IE noch in FF etwas. 

Gerade bei Firefox sollte es problemlos gehen. Kam da keine klare
Fehlermeldung?

> In IE kommt eine VBScript-Fehlermeldung: Zertifikat-Installation
> fehlgeschlagen! (Error code 438)

Im IE kenne ich mich nicht so aus, um zu sagen, was genau schief
gelaufen ist. Kam da keine genauere Fehlermeldung?

Sind beide Stammzertifikate Klasse 1 und Klasse 3 installiert? Wenn
nicht, solltest Du das nachholen.

Sowohl für die Stammzertifikate als auch für die eigenen Client- und
Server-Zertifikate gibt es die Möglichkeit, die Zertifikate zunächst als
Datei auf die Platte zu schreiben und danach von Hand zu installieren,
wenn es automatisch nicht klappt.

Hier noch ein Standard-Text dazu:

Bevor Sie ein Server-Zertifikat erstellen können, müssen Sie die
entsprechende Domain Ihrem Konto zufügen.

In gleicher Weise müssen Sie (zusätzliche) E-Mail-Adressen Ihrem Konto
zufügen, bevor Sie für diese E-Mail-Adressen Client-Zertifikate
erstellen können.

Da mit Client-Zertifikaten leichter umzugehen ist (vieles läuft
automatisch), schlage ich vor, zuerst ein Client-Zertifikat zu
erstellen, um damit vertraut zu werden.

Als allerersten Schritt müssen Sie die Stammzertifikate (root)
einrichten. Sie sind in den meisten Betriebssystemen und Browsern nicht
automatisch enthalten sondern Sie müssen sie selber installieren.
Am besten geht das mit Firefox, damit laufen die meisten Sachen am
glattesten.

Gehen Sie auf www.cacert.org, dann in das Menü "Stammzertifikate" auf
der rechten Seite. Dort installieren Sie die Stammzertifikate Klasse 1
und Klasse 3. Normalerweise werden sie bei einem einfachen Klick
automatisch installieren. Falls das nicht klappen sollten, machen Sie
einen Rechtsklick und sichern die Stammzertifikate als Datei auf Ihrer
Festplatte und installieren sie danach von Hand.

Um das zu überprüfen, gehen Sie in Firefox auf Extras -> Einstellungen
-> Erweitert -> Verschlüsselung -> Zertifikate anzeigen. Im Reiter
"Zertifizierungsstellen" sollten Sie die folgenden Zeilen finden:

Root CA
   CAcert Class 3 root
   CA Cert Signing Authority

Falls das nicht der Fall sein sollte, Können Sie die auf der Festplatte
gesicherten Zertifikate von Hand installieren. Wenn Sie die Zertifikate
direkt installiert haben und Sie benötigen sie auch an anderen
Stellen, können Sie sie hier exportieren und auf Festplatte sichern,

Um ein Client-Zertifikat zu erstellen, melden Sie sich an Ihrem
CAcert-Konto an. Im Menü auf der rechten Seite gehen Sie zu "Client-
Zertifikate" -> "Neu" und füllen die entsprechenden Felder aus. In den
meisten Fällen können Sie die Vorgaben belassen. Danach wird das
Zertifikat automatisch installiert. In Firefox bei Extras ->
Einstellungen -> Erweitert -> Verschlüsselung -> Zertifikate anzeigen
im Reiter "Ihre Zertifikate" können Sie kontrollieren, ob das
Zertifikat eingerichtet ist.

Dann fügen Sie Ihre Domains zu Ihrem Konto hinzu, sofern noch nicht
passiert.

Jetzt können Sie Ihre Server-Zertifikate erstellen. Erst erzeugen Sie
mit einem externen Programm z.B. OpenSSL ein CSR. In Ihrem CAcert-Konto
gehen Sie zu "Server-Zertifikate! -> "Neu", fügen das CSR in das
Fenster ein und schicken es ab. Sie bekommen das signierte Server-
Zertifikat zurück, das Sie dann mit Kopieren-und-Einfügen zu Ihrem
Server übertragen. In Firefox können Sie dann in Extras ->
Einstellungen -> Erweitert -> Verschlüsselung -> Zertifikate anzeigen
im Reiter "Server" kontrollieren, ob das Zertifikat eingerichtet ist.

Viele Grüße, Werner



Archive powered by MHonArc 2.6.18.

Top of Page