Child pages
  • Zertifikatsverwaltung à la debian
Skip to end of metadata
Go to start of metadata

Debian Zertifikatsspeicher

Um mal vorne / beim offentsichtlichen anzufangen: Die (Root-)Zertifikate liegen unter /etc/ssl/certs

Leider reicht es in aller Regel NICHT aus einfach neue Zertifikate da rein zu schmeißen!

 

Das Debian Paket ca-certificates liefert ein Script mit das uns dabei helfen soll:

/usr/sbin/update-ca-certificates

 

Einrichten neuer Zertifikate

  1. Zertifikat unter /usr/share/ca-certificates/ ablegen
    (warning) Dateinamen dürfen keine Sonderzeichen oder schlimmstenfalls Leerzeichen enthalten. Siehe Hilfestellung zum Umbenennen der Dateien unter Shell Scripts - Sammlung

  2. Zertifikatsname / Dateiendung muss .crt lauten

    MyCAcert.crt

     

    1. Zertifikat sollte somit als CA_BASE64 vorliegen
  3. Name des Zertifikats in die Datei /etc/ca-certificates.conf eintragen
  4. sudo update-ca-certificates ausführen und Erfolgsmeldung abwarten dass 1 neues Zertifikat installiert wurde.

    Updating certificates in /etc/ssl/certs...
    1 added, 0 removed; done.
    Running hooks in /etc/ca-certificates/update.d....
    Adding debian:MyCAcert.pem
    done.
    done.

    alternativ / besser / mit Interaktion und der Möglichkeit neue Unterverzeichnisse aus /usr/share/ca-certificates/ aufzunehmen:

    sudo dpkg-reconfigure ca-certificates

 

Deinstallation / deaktivieren geht genauso einfach: 

  1. in der Konfigurationsdatei die Zeile mit ! einleiten

    !MyCAcert.crt
  2. erneut update-ca-certificates ausführen

    Updating certificates in /etc/ssl/certs... 
    0 added, 1 removed; done.
    Running hooks in /etc/ca-certificates/update.d....
    Removing debian:MyCAcert.pem
    done.
    done.

... für Apache 

 

... für Java

Braucht man nichts weiter tun, denn update-ca-certificates aktualisiert den Java Keystore:

Siehe StartCom // StartSSL und Debian

  • No labels