PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie bringe ich meinem Netzwerk eine CA bei?



saeckereier
22.04.2007, 10:22
Eine Frage die sich mir in den letzten Tagen gestellt hat, ich habe für mein Netz eine CA erstellt um mir selbst meine nur lokal gültigen Zertifikate zu verteilen, sei es für User, sei es für Server. Ist es jetzt wirklich so dass ich JEDER einzelnen verdammten Anwendung diese CA selbst beibringen muss und das das dann auch noch jeder User selbst machen muss? Ich fühle mich doch irgendwie von meinem tollen aus der CLI bedien- und konfigurierbaren System verar****.. Die CA ist zwar im zentralen Keystore von OpenSSL (/etc/ssl/certs) eingetragen und OpenSSL verifiziert meine Zertifikate auch eifrig, aber keine einzige Anwendung scheint zu wissen das es den gibt...

OpenLDAP: Konfigdatei
Firefox: Über die GUI hinzufügbar, manuell keine Chance. Global wie?
Thunderbird: Wie Firefox aber natürlich separater Keystore
Evolution: Nur über die GUI? Keine Ahnung wo die Zertifikate wieder herkommen...
KDE: KDE zentraler Keystore, auch wenn der regelmässig absemmelt beim Versuch da was hinzuzufügen, wenigstens benutzt Kmail denselben wie Konqueror und beide sind jetzt ruhig. Globaler Keystore bzw. default keystore, keine Chance, habs nicht geschafft meine CA systemweit einzutragen..
Psi: Hat wenigstens eine (system) zentrale xml Datei in der man es eintragen kann. Das das nirgendswo zu finden ist ist zwar ärgerlich, aber wenn man sie dann einmal hat...
Kopete: Wo auch immer das seine Zertifikate prüft, es ist weder KDE noch die Psi Datei und eine andere konnte ich nicht finden, Importieren von CAs ist weder in GUI noch CLI möglich, damit ist der Client schonmal gestorben.
Java: Hört bloss auf, jede (!) VM einen eigenen Keystore, versteckt in den Weiten meines Dateisystems... Wenigstens gibt es den nur global und ich konnte in meiner aktuellen VM den Key hinzufügen, jetzt hoffen wir mal dass ich mich daran erinnere wie das ging wenn ichs wieder brauche..

Bin ich nur zu blöd oder haben es sich sämtliche Anwendungsprogrammierer als Ziel gesetzt die Verwaltung von CA Zertifikaten unmöglich zu machen? Warum kann ich bei KD fast alles auf default werte setzen nur die Zertifikate nicht. Warum nutzen nicht einfach alle Verwender von OpenSSL dessen Keystore... Und warum funktioniert das in Windows (Firefox und Thunderbird jetzt mal ausgenommen, wieder so ein Ärgernis) In diesem Fall sehe ich auch keinen Grund warum ich das Windows Argument nicht bringen dürfte, ich nutze mein Linux lange genug um das sagen zu dürfen das unsere Linuxlösung da wirklich suboptimalst ist..

Und ja, zum Grossteil ist dieser Post mehr Gemecker als etwas anderes, aber ich hoffe ehrlich dass ich etwas übersehen habe oder mir zumindest jemand was dazu sagen kann wo ich systemglobale Zertifikate für Evolution und KDE installieren kann... Gefunden habe ich nach Tagen nichts. (Oh Firefox und Thunderbird wären auch nett zu wissen)

blur
24.04.2007, 08:33
Moin, moin,

Der Fehler liegt am CA. Hättest Du das Geld für ein global gültiges CA ausgegeben, müsstest Du nicht jeden Client anfassen und hättest Dir Arbeit gespart.

Gruß
Blur

saeckereier
24.04.2007, 17:38
Ich will ja aber jeden Client anfassen, ich suche nur nach einem Weg das ganze systemseitig zu installieren um nicht jeden User anfassen zu müssen.

Darüberhinaus würde ich nicht sagen dass der Fehler an der CA (=Zertifizierungstelle) liegt. Ich will kein Geld für eine globale CA ausgeben, ich will auch garantiert keine globale. Eine global gültige CA würde entsprechende organisatorische und sonstige Regelungen nach sich ziehen müssen um sicherzusein dass diese niemals entwendet werden kann schon allein um Schadensersatzansprüchen und ähnlichem zu entgehen. Meine CA dient zur Signierung netzinterner Dienste die von aussen nicht erreichbar sind und sein sollen. Es handelt sich hierbei um ein privates eher kleines Heimnetz. Ich denke du stimmst mir sicher zu dass man hierfür nicht unbedingt ein globales CA-Zertifikat braucht.

supersucker
24.04.2007, 17:51
Soweit ich weiss, geht das bei "self-signed certificates" nicht anders.

Sprich, du musst es für jede Anwendung + User importieren.

Es gibt meines Wissens nach keinen "globalen" keystore, auf den alle Programme initial zugreifen um zu prüfen ob dem Zertifikat vertraut wird.

Ich kann mich da aber auch täuschen und lass mich gerne eines Besseren belehren, da mich die Thematik selber interessiert..........:)

saeckereier
24.04.2007, 19:08
"self-signed" Certificates sind etwas anderes, normale Web Zertifikate sind von einer CA, einer Zertifizierungsstelle zertifiziert. Wenn man die CA kennt, oder eine CA die die CA zertifiziert hat oder eine CA, die die CA, die die CA ... So halt. Es gibt dann eine Vertrauensbaumstruktur. Selbstsignierte Zertifikate sind Zertifikate die nicht von einer CA zertifiziert wurden sonder mit sich selbst. Daher gibt es dort keine Vertrauensstruktur und man muss jedes einzeln akzeptieren/einbinden.
In meinem Fall gibt es eine CA für mein Netzwerk, deren Zertifikat will ich jetzt einbinden damit Firefox SSL mit meinen Servern redet. Damit Thunderbird SSL mit meinem IMAP spricht, usw. Was ich bemängelt habe, ist das jede Applikation ihren eigenen Keystore hat und der auch noch ser spezifisch ist. Wenn ich mein Zertifikat hinzufügen will heisst das zumindest bisher ich müsste mich als jeder User einmal anmelden und dass einbinden. Wasmir micht wirklich zusagt, vor allem weil OpenSSL seit Ewigkeiten einen zentralen Keystore anbietet nur ist irgendwie wohl jeder der Meinung trotzdem einen eigenen zu benutzen, der dann im Idealfall nicht einmal verwaltbar ist. Kopete z. B. kann bei Jabber bei SSL Problemen entweder stillschweigend JEDES Zertifikat akzeptieren, egal was kommt oder welche die in den fest eingebauten und unveränderlichen CAs signiert wurden.

Wirf mal einen Blick auf /etc/ssl/certs.d oder so ähnlich, das ist der OpenSSL Keystore. Da eingebunden könnte theoretisch jede Appliaktion meine Zertikate prüfen.. (openssl verify) sowas oder zumindest systemzentral wünsche ich mir für meine anderen Anwendungen auch...