Deutschsprachige CAcert Support Liste

[Werner Dworak <werner.dworak AT cacert.org>]

Hallo Johann Lemke,

> Inzwischen habe ich viele Stunden  für den Versuch aufgewendet, mein
> CAcert-Zertifikat nutzbar zu machen, 

Das kann ich nicht nachvollziehen, normalerweise geht das völlig
problemlos und das haben zigtausende geschafft. Zumindest auf PCs sollte
es leicht sein, bei Smartphones kann es eher Hakeleien geben.

> Muss jeder, dem ich eine (mit meinem CAcert-Zertifikat) signierte Mail
> sende, die gleiche mühsame "Wurzel-Behandlung" durchführen, bevor er
> meiner digitalen Signatur vertrauen kann? 

Ja, jeder muss die Stammzertifikate derjenigen CA haben, von der die
Zertifikate stammen, mit denen die E-Mails signiert sind. Viele
Stammzertifikate sind vom Browser-Hersteller vorinstalliert, die
Stammzertifikate von CAcert müssen sie selber installieren, das ist aber
normalerweise völlig problemlos.

> Wähle ich "class3.crt", dann werden 2 Passwörter verlangt, erstens das
> meines Sicherungsmoduls (ok) und zweitens dasjenige, mit welchem ich die
> crt-Datei gesichert habe. 

Da stimmt etwas nicht. Heruntergeladene Zertifikate sind nie mit einem
Kennwort versehen, Stammzertifikate gleich gar nicht.

Kennworte kommen nur ins Spiel, wenn Sie _eigene_ Zertifikate
exportieren und erneut importieren wollen.

> "Die Datei konnte nicht dekodiert werden. Entweder sie ist nicht im
> PKCS#12 Format, wurde fehlerhaft übertragen, oder das Passwort, das Sie
> eingegeben haben, war inkorrekt."

Dann passt etwas nicht zusammen.

> "class3.crt" hat kein Passwort, fehlerhafte Übertragung kann ich mir
> nicht vorstellen, denn ich habe die Fingerprints verglichen.

Eben. Stammzertifikate haben nie ein Kennwort.

> Ich bin ratlos.

Hier ein paar Standard-Texte, die vielleicht weiterhelfen:

Gehen Sie auf http://www.cacert.org/, dann rechts oben auf
"Stammzertifikat". Wenn Sie den Internet Explorer oder Chrome benutzen,
verwenden Sie den Windows-Installer.

Wenn Sie andere Browser oder Betriebssysteme benutzen, klicken Sie bei
"Klasse 1 PKI Schlüssel" auf "Stammzertifikat (PEM Format)" oder ein
anderes für Sie passendes Format. Das Stammzertifikat sollte automatisch
eingerichtet werden. Wenn das nicht klappt, machen Sie einen Rechtsklick
auf den Eintrag und sichern das Zertifikat als Datei auf Ihre
Festplatte. Dann können Sie es von Hand einrichten.

In gleicher Weise klicken Sie bei "Klasse 3 PKI Schlüssel" auf
"Zwischenzertifikat (PEM Format)" und richten es ein.

Stammzertifikate Klasse 3 werden teils als Stammzertifikate, teils als
Zwischenzertifikate bezechnet.

Danach gehen Sie in Firefox zu Extras -> Einstellungen -> Erweitert ->
Zertifikate anzeigen -> Zertifizierungsstellen. Dann sollten Sie die
Zeilen finden:

Root CA
  CA Cert Signing Authority
  CAcert Class 3 Root

An der gleichen Stelle können Sie gegebenenfalls auf "Importieren..."
gehen, um die Zertifikate von der Festplatte zu laden. Wenn Sie die
Zertifikate direkt installiert haben und Sie benötigen sie auch an
anderen Stellen, können Sie sie hier exportieren und auf Festplatte sichern.

Schauen Sie auf
https://www.cacert.org/policy/CertificationPracticeStatement.php, wie
wir arbeiten und entscheiden dann selber, ob Sie uns trauen wollen.

--------------------------------------------

Bevor Sie ein Server-Zertifikat erstellen können, müssen Sie die
entsprechende Domain Ihrem Konto zufügen.

In gleicher Weise müssen Sie (zusätzliche) E-Mail-Adressen Ihrem Konto
zufügen, bevor Sie für diese E-Mail-Adressen Client-Zertifikate
erstellen können.

Da mit Client-Zertifikaten leichter umzugehen ist (vieles läuft
automatisch), schlage ich vor, zuerst ein Client-Zertifikat zu
erstellen, um damit vertraut zu werden.

Als allerersten Schritt müssen Sie die Stammzertifikate (root)
einrichten. Die Stammzertifikate Klasse 1 und Klasse 3 müssen auf allen
Rechnern installiert werden, die mit CAcert-Zertifikaten arbeiten.

Um ein Client-Zertifikat zu erstellen, melden Sie sich an Ihrem
CAcert-Konto an. Im Menü auf der rechten Seite gehen Sie zu
"Client-Zertifikate" -> "Neu" und füllen die entsprechenden Felder aus.
In den meisten Fällen können Sie die Vorgaben belassen. Danach wird das
Zertifikat automatisch installiert. In Firefox bei Extras ->
Einstellungen -> Erweitert -> Verschlüsselung -> Zertifikate anzeigen im
Reiter "Ihre Zertifikate" können Sie kontrollieren, ob das Zertifikat
eingerichtet ist.

Dann fügen Sie Ihre Domains zu Ihrem Konto hinzu, sofern noch nicht
passiert.

Jetzt können Sie Ihre Server-Zertifikate erstellen. Erst erzeugen Sie
mit einem externen Programm z.B. OpenSSL ein CSR. In Ihrem CAcert-Konto
gehen Sie zu "Server-Zertifikate! -> "Neu", fügen das CSR in das Fenster
ein und schicken es ab. Sie bekommen das signierte Server-Zertifikat
zurück, das Sie dann mit Kopieren-und-Einfügen zu Ihrem Server
übertragen. In Firefox können Sie dann in Extras -> Einstellungen ->
Erweitert -> Verschlüsselung -> Zertifikate anzeigen im Reiter "Server"
kontrollieren, ob das Zertifikat eingerichtet ist.

---------------------------------------

Hier eine genaue Beschreibung wie man ein Client-Zertifikat einrichtet.

Melden Sie sich an Ihrem CAcert.Konto an. Dann gehen Sie im Menü auf der
rechten Seite auf "Client-Zertifikate" --> "Neu". Auf der Seite, die
sich öffnet, markieren Sie bei "Hinzufügen" die E-Mail-Adresse(n), auf
die sich das Zertifikat beziehen soll. Dann wählen die Klasse 1 oder
Klasse 3, vorzugsweise Klasse 3.

Wenn Sie mehr als 50 Assurance-Punkte haben, wählen Sie als nächstes die
Namensvariante (Namensbestandteile), die das Zertifikat enthalten soll.
"Zertifikats-Anmeldung mit diesem Zertifikat freigeben" sollte
angekreuzt sein, es ist Standard. Ob "Erweiterte Optionen anzeigen"
angekreuzt ist, ist zweitrangig. Aber wenn, wählen Sie besser "Keine
Single-Sign-On ID".

Normal sollte das Fenster "Wahlweises Client-CSR" leer sein. Dann läuft
das weitere weitgehend automatisch. Das sollten Sie so machen.

Alternativ können Sie mit einem externen Programm ein CSR erstellen und
hier einfügen. Dann erfolgt das Erstellen des Zertifikats von Hand und
Sie sollten wirklich wissen, was Sie tun.

Ich nehme also an, das Fenster ist leer. KLicken Sie auf "Weiter".
Belassen Sie die Schlüsselgröße auf "Hochgradig" und klicken Sie auf
"Erstellen einer Zertifikatsanfreage (CSR)". Jetzt weist CAcert Ihren
Browser an, ein Zertifikat bestehend aus privatem und öffentlichem
Schlüssel zu erstellen. Der private Schlüssel verläßt normalerweise
niemals Ihren Browser. Der öffentliche Schlüssel wird zu CAcert
geschickt, dort signiert und registriert und zurück geschickt.

Ihr Browser ist eine Weile beschäftigt, dann bekommen Sie das Menü:

Installieren Sie das Zertifikat in Ihren Browser
Herunterladen des Zertifkats im PEM-Format
Herunterladen des Zertifkats im DER-Format

Normal sollten Sie die erste Option wählen. Aber Sie können auch die
zweite oder dritte Option wählen, um das Zertifikat als Datei abzulegen
und von Hand zu installieren. Ich nehme an, sie wählen die erste Option.
Dann bekommen Sie die Meldung "Ihr persönliches Zertifikat wurde
installiert. Sie sollten jetzt eine Sicherheitskopie (Backup)
erstellen". Wenn Sie auf "ok" klicken, ist alles erledigt.

In Firefox können Sie bei Extras -> Einstellungen -> Erweitert ->
Zertifikate -> Zertifikate anzeigen im Tab "Ihre Zertifikate"
überprüfen, ob das Zertifikat eingerichtet wurde.

Jetzt können Sie das Zertifikat auswählen und auf "Sichern" klicken. Da
bekommen Sie eine Datei-Auswahl, in der Sie wählen können, in welchem
Verzeichnis Sie das Zertifikat speichern wollen. Geben Sie acht auf
diese Datei. Sie enthält das vollständige Zertifikat einschließlich des
privaten Schlüssels. Wenn der in die Hände der falschen Leute gerät,
können die Ihre Identität übernehmen und Zertifikate in ihrem Namen
benutzen.

Viele Grüße, Werner
CAcert Support

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature