Hilfe:SSL-Zertifikate: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „== SSL-Zertifikate der Ruhr-Universität Bochum == Die Zertifikatskette für verschlüsselte Internetseiten der Ruhr-Universität Bochum (z.B. bei diesem Wiki, Bl...“) |
(Erweitert) |
||
Zeile 24: | Zeile 24: | ||
=== Prüfung der Zertifikate === | === Prüfung der Zertifikate === | ||
Nach der Installation sollten die Zertifikate überprüft werden, um sicherzustellen, dass die korrekten Zertifikate installiert wurden. Die Daten der Zertifikate wie Gültigkeitsdauer und Fingerabdrücke für die Prüfung sind auf der PKI-Seite der RUB zu finden ([http://www.ruhr-uni-bochum.de/pki/zertifikate.html PKI Zertifikatskette]). | Nach der Installation sollten die Zertifikate überprüft werden, um sicherzustellen, dass die korrekten Zertifikate installiert wurden. Die Daten der Zertifikate wie Gültigkeitsdauer und Fingerabdrücke für die Prüfung sind auf der PKI-Seite der RUB zu finden ([http://www.ruhr-uni-bochum.de/pki/zertifikate.html PKI Zertifikatskette]). | ||
+ | |||
+ | ==== Prüfung beim Firefox ==== | ||
+ | Man öffne die Einstellungsseite ("Bearbeiten -> Einstellungen"), wähle "Erweitert" und den Reiter "Verschlüsselung". | ||
+ | |||
+ | <div align=center>[[Datei:Hilfe-ssl-firefox1.png]]</div> | ||
+ | |||
+ | Mit dem Button "Zertifikate anzeigen" gelangt man zum Zertifikatsmanager. Hier wählt man den Reiter "Zertifizierungsstellen" und sucht die Einträge zur Deutschen Telekom bzw. DFN-Verein. | ||
+ | |||
+ | <div align=center>[[Datei:Hilfe-ssl-firefox2.png]]</div> | ||
+ | |||
+ | Durch markieren einer der Einträge und Verwendung des Buttons "Ansehen..." kann man sich die Daten der Zertifikate anschauen und sollte diese mit denjenigen auf der [http://www.ruhr-uni-bochum.de/pki/zertifikate.html RUB-PKI-Seite] vergleichen um sicherzustellen, das man die richtigen Zertifikate installiert hat | ||
+ | und nicht gefälschte installiert hat. | ||
+ | |||
+ | <div align=center> | ||
+ | [[Datei:Hilfe-ssl-firefox3.jpg|400px|Einträge für Deutsche Telekom Root CA 2 (Stand 04.06.2009)]] | ||
+ | [[Datei:Hilfe-ssl-firefox4.jpg|400px|Einträge für CA-Zertifikat DFN-Verein PCA Global - G01 (Stand 04.06.2009)]] | ||
+ | [[Datei:Hilfe-ssl-firefox5.jpg|400px|Einträge für CA-Zertifikat Ruhr-Universität Bochum (Stand 04.06.2009)]] | ||
+ | </div> | ||
+ | |||
+ | Zur Online-Prüfung der Zertifikate sollte noch OCSP ausgewählt werden (Online-Dienst zur Prüfung von Zertifikaten). Bei der Einstellungsseite vom Firefox und den erweiterten Einstellung wählt man den Button "Validierung" | ||
+ | |||
+ | <div align=center>[[Datei:Hilfe-ssl-firefox6.png]]</div> | ||
+ | |||
+ | Beim Popup-Fenster wählt man die obere Checkbox aus. Hiermit wird bei Anfrage von gesicherten Verbindungen geprüft, ob das Zertifikat noch gültig ist und nicht zwischenzeitlich zurückgerufen wurde (weil es z.B. gestohlen wurde). Die untere Checkbox unterbindet die Akzeptierung von Zertifikaten, wenn der OCSP-Dienst nicht abgefragt werden kann (und somit keine Prüfung der Zertifikate auf Gültigkeit stattfinden kann). | ||
+ | |||
+ | <div align=center>[[Datei:Hilfe-ssl-firefox7.jpg]]</div> | ||
+ | |||
== Links == | == Links == | ||
* [http://www.ruhr-uni-bochum.de/pki/index.html RUB PKI Übersichtsseite] | * [http://www.ruhr-uni-bochum.de/pki/index.html RUB PKI Übersichtsseite] | ||
* [http://www.ruhr-uni-bochum.de/pki/zertifikate.html PKI Zertifikatskette der RUB] | * [http://www.ruhr-uni-bochum.de/pki/zertifikate.html PKI Zertifikatskette der RUB] |
Aktuelle Version vom 4. Juni 2009, 11:37 Uhr
Inhaltsverzeichnis
SSL-Zertifikate der Ruhr-Universität Bochum
Die Zertifikatskette für verschlüsselte Internetseiten der Ruhr-Universität Bochum (z.B. bei diesem Wiki, Blackboard, perMail...) ist nicht bei allen Browsern vorhanden. so dass eine Validierung des SSL-Zertifikates für die Verbindung nicht erfolgen kann. Hierdurch wird bei Verbindungen zu einer solchen verschlüsselten Internetseite zunächst eine Sicherheitsabfrage angezeigt, wo man bestätigen muß, das man der Verbindung vertraut und das Zertifikat akzeptiert. Dies betrifft u.a. die Browser
- ggf. ältere MS Internet-Explorer, wenn keine Sicherheitsupdates durchgeführt wurden
- Gecko-basierende Internetbrowser (Mozilla, Firefox, Konqueror,...)
Die fehlenden Zertifikate der Zertifikatskette können über die Public-Key-Infrastruktur-Seite (PKI) der Ruhr-Universität Bochum einfach installiert werden. Hiermit kann dann eine Validierung der verschlüsselten Verbindung zur Web-Servern der RUB sichergestellt werden.
Installation der Zertifikate
Für die Zertifikatskette müssen drei Zertifikate in den Browser importiert werden. Durch anklicken der nachfolgenden Links (.crt-Erweiterung oder .der-Erweiterung) sollten diese direkt vom Browser in den Zertifikatsspeicher importiert werden (je nach Browser erfolgt dies ggf. nur mit der .crt bzw. .der-Erweiterung).
Wurzelzertifikat Deutsche Telekom Root CA 2
CA-Zertifikat DFN-Verein PCA Global - G01
CA-Zertifikat Ruhr-Universität Bochum
Prüfung der Zertifikate
Nach der Installation sollten die Zertifikate überprüft werden, um sicherzustellen, dass die korrekten Zertifikate installiert wurden. Die Daten der Zertifikate wie Gültigkeitsdauer und Fingerabdrücke für die Prüfung sind auf der PKI-Seite der RUB zu finden (PKI Zertifikatskette).
Prüfung beim Firefox
Man öffne die Einstellungsseite ("Bearbeiten -> Einstellungen"), wähle "Erweitert" und den Reiter "Verschlüsselung".
Mit dem Button "Zertifikate anzeigen" gelangt man zum Zertifikatsmanager. Hier wählt man den Reiter "Zertifizierungsstellen" und sucht die Einträge zur Deutschen Telekom bzw. DFN-Verein.
Durch markieren einer der Einträge und Verwendung des Buttons "Ansehen..." kann man sich die Daten der Zertifikate anschauen und sollte diese mit denjenigen auf der RUB-PKI-Seite vergleichen um sicherzustellen, das man die richtigen Zertifikate installiert hat und nicht gefälschte installiert hat.
Zur Online-Prüfung der Zertifikate sollte noch OCSP ausgewählt werden (Online-Dienst zur Prüfung von Zertifikaten). Bei der Einstellungsseite vom Firefox und den erweiterten Einstellung wählt man den Button "Validierung"
Beim Popup-Fenster wählt man die obere Checkbox aus. Hiermit wird bei Anfrage von gesicherten Verbindungen geprüft, ob das Zertifikat noch gültig ist und nicht zwischenzeitlich zurückgerufen wurde (weil es z.B. gestohlen wurde). Die untere Checkbox unterbindet die Akzeptierung von Zertifikaten, wenn der OCSP-Dienst nicht abgefragt werden kann (und somit keine Prüfung der Zertifikate auf Gültigkeit stattfinden kann).