Aktuelle Version |
Dein Text |
Zeile 1: |
Zeile 1: |
| Bei CAcert handelt es sich um eine Initiative, mit Hilfe eines [[Web of Trust]] (ähnlich dem von [[OpenPGP]]) eine gegenseitige Vertrauensbasis zu schaffen. Zum Einsatz kommen hier jedoch Zertifikate nach [[X.509]], die im Gegensatz zu [[OpenPGP]] von einer zentralen Instanz ([[Certificate Authority]]/CA) unterschrieben werden. | | Bei CAcert handelt es sich um eine Initiative, mit Hilfe eines [[Web of Trust]] (ähnlich dem von [[OpenPGP]]) eine gegenseitige Vertrauensbasis zu schaffen. Zum Einsatz kommen hier jedoch Zertifikate nach [[X.509]], die im Gegensatz zu [[OpenPGP]] von einer zentralen Instanz ([[Certificate Authority]]/CA) unterschrieben werden. |
− |
| |
− |
| |
− | == Client ==
| |
− | Um als Client ein von CAcert signiertes Zertifikat automatisch anzuerkennen, muss der Client das Root-Zertifikat von Cacert kennen.
| |
− | === Firefox ===
| |
− | Mit Firefox unter http://www.cacert.org/index.php?id=3 entsprechend das jeweilige PEM-File aufrufen. Firefox bringt einen Eingabedialog, in dem man das Zertifikat für gewisse Zwecke anerkennen (oder ablehnen) kann.
| |
− |
| |
− | Der Fingerprint sollte unbedingt mit dem auf der Seite abgebildeten Fingerprint verglichen werden. Die Textinformation mit den Fingerprints selbst ist signiert und kann (sollte) überprüft werden.
| |
− |
| |
− | {{FIXME|Beschreibung, wie man die Signatur dieser Textinformation prüft}}
| |
− |
| |
− | === Internet Explorer ===
| |
− | Für den Internet Explorer gibt es auf dieser Seite einen speziellen Link.
| |
− |
| |
− |
| |
− | == Server ==
| |
− | Grundsätzlich müssen 3 Voraussetzungen erfüllt sein, damit man sich via CAcert ein Zertifikat austellen lassen kann:
| |
− | * Man benötigt ausreichend Punkte
| |
− | * Man benötigt eine eigene Domain und muss diese verifizieren lassen.
| |
− | * Man erstelle sich einen Server-Key und ein dazu passendes CSR-File
| |
− |
| |
− | Sind diese Vorgaben erfüllt, kann man über '''Serverzertifikate''' den Inhalt des CSR-Files übergeben. CAcert überprüft, ob die im CSR enthaltenen Daten zugeordnet werden können, d.h. ob der CN in der Liste der bereits verifizierten Domains enthalten ist. Passt alles, bekommt man ein Zertifikat angezeigt, welches man mittels copy-paste in die zum Server-Key korrespondierende .crt-Datei einfügt.
| |
− |
| |
− | Standardmäßig heißen diese Dateien:
| |
− | * server.key
| |
− | * server.crt
| |
− | * server.csr
| |
− |
| |
− | === Apache ===
| |
− | Je nach Konfiguration kopiert man das server.key und server.crt in die entsprechenden Verzeichnisse. Bei FreeBSD ist das per default /usr/local/etc/apache/ssl.<typ>/.
| |
− |
| |
− | Es empfieht sich dringend, die Dateien nicht "server.*" zu benennen, da diese sonst bei einem Update womöglich überschrieben werden. Als Konvention wäre denkbar, die Dateien anhand des Hostnames/Domain zu benennen, z.B. www.example.com.key und www.example.com.crt
| |
− |
| |
− | ;httpd.conf:
| |
− | SSLCertificateKeyFile /usr/local/etc/apache/ssl.key/www.example.com.key
| |
− | SSLCertificateFile /usr/local/etc/apache/ssl.crt/www.example.com.crt
| |
− |
| |
− | ==== siehe auch ====
| |
− | * [http://www.modssl.org/docs/2.8/ssl_faq.html#ToC24 modssl.org::FAQ::About Certificates]
| |
− |
| |
− |
| |
| | | |
| == Punktevergabe und -Sammeln == | | == Punktevergabe und -Sammeln == |