CAcert: Root Zertifikate installieren

Damit die von CAcert ausgestellten Zertifikate geprüft werden können, muss das Root-Zertifikat von CAcert installiert sein. Dies kann recht mühsam sein, falls man beim Internet Explorer den falschen Speicherplatz wählt. Um dem vorzubeugen habe ich diese kleine Anleitung geschrieben.

Die Root-Zertifikate findet man auf CAcert.org. Die Hashcodes müssen wie folgt lauten:

Klasse 1 SHA1 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
Klasse 1 MD5 A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
Klasse 3 SHA1 DB:4C:42:69:07:3F:E9:C2:A3:7D:89:0A:5C:1B:18:C4:18:4E:2A:2D
Klasse 3 MD5 73:3F:35:54:1D:44:C9:E9:5A:4A:EF:51:AD:03:06:B6

 
Firefox und Thunderbird
Die Installation bei Firefox ist sehr einfach. Klickt man auf den Link zum Zertifikat wird man gefragt, ob man es installieren will. Mit einem einfachen Dialog kann man auswählen, für was man der CA vertraut:

Dies muss sowohl für das Zertifikat der Klasse 1 wie für das der Klasse 3 gemacht werden. Bei Thunderbird läuft die Installation fast gleich. In den erweiterten Einstellungen kann auf dem Tab Zertifikate der Zertifikats-Manager gestertet werden (Knopf Zertifikate). Über Importieren kann man das zuvor auf den PC herunter geladene Zertifikat einbinden.

 
Internet Explorer
Im Internet Explorer ist die Installation ähnlich. Auch hier beginnt diese mit dem Download und der Installation des Zertifikates. Es spielt aber eine wichtige Rolle, wohin man die Zertifikate installiert. Man sollte beim ersten Anlauf „Trusted Root Certification Authorities“ auswählen:

Nachdem auch hier beide Root-Zertifikate installiert wurden muss der IE neu gestartet werden. Beim Aufruf von https://www.cacert.org/ sollte das Zertifikat nun erkannt werden:

 
Zertifikatsfehler Internet Explorer
Sollte allerdings die Adresszeile Rot eingefärbt sein, findet sich beim Zertifikat dieser Fehler:

Falls die Zertifikate installiert sind, liegen diese am falschen Ort. Mit der Management Console können diese verschoben werden. Dazu startet man über „Ausführen…“ das Programm mmc. Die Konsole wird zuerst leer sein. Über „Add/Remove Snap-in…“ kann das Modul für Zertifikate hinzugefügt werden. Wie vom Explorer gewohnt können Einträge mittels CTRL-X ausgeschnitten und mit CTRL-V eingefügt werden. Auch hier müssen die Zertifikate am Ende unterhalb von „Trusted Root Certification Authorities“ liegen.

Die Installation kann ganz einfach sein. Wählt man aber den falschen Ablageort kann aus einer 5 Minuten dauernden Tätigkeit ein abendfüllendes Thema werden…

 
Mehr zu mmc
Wer gerne mehr über mmc wissen möchte, sollte sich die Seite von theeldergeek anschauen.

Advertisements

CAcert – eine freie Root CA

CAcert (http://www.cacert.org) ist eine Non-Profit Organisation mit dem Zweck, eine kostenlose Certificate Authority (CA) etablieren will. Eine CA dient zum Ausstellen und Verifizieren von Zertifikaten, die wiederum zum Verschlüsseln verwendet werden.

Kommerzielle CAs verlangen für diesen Dienst pro Zertifikat eine Gebühr, die für die meisten Anwender zu teuer ist. Die Konsequenz daraus ist, dass man entweder auf die Verschlüsselung verzichtet oder zu selber signierten Zertifikaten greift – diese können aber nicht von einer unabhängigen dritten Seite verifiziert werden.
Mit den Zertifikaten kann die Verbindung zu Webservern über https gesichert oder E-Mails mittels S/MINE signiert oder verschlüsselt werden. Eine bisher weniger verbreitete Anwendung ist die Signierung von Programmen.

 
Das Web of Trust
CAcert basiert auf einem Web of Trust. Die Mitglieder vertrauen Mitgliedern die wiederum anderen Mitgliedern vertrauen. So spannt sich ein Netz auf, bei dem sich Leute vertrauen, die sich nicht direkt kennen.
Bei CAcert kann sich jeder anmelden. Die Identität des neuen Mitglieds muss von Personen bestätig werden, deren Identität wiederum durch andere Mitglieder bestätigt ist. So stellt man sicher, dass jedes voll authentifizierte Mitglied wirklich die Person ist, die sie vorgibt zu sein.

 
Der Authentifizierungsprozess
Nachdem man sich bei CAcert angemeldet hat, kann man sich das Identitätsüberprüfungs-Formular (CAP-Formular) herunterladen. Mit dem kann man sich von den als Assurer tätigen Mitgliedern die Identität überprüfen lassen.
Jeder Assurer kann einem eine bestimmte Anzahl Punkte geben. Je mehr Personen der Assurer bestätigt hat, desto mehr Punkte kann er vergeben. Er selber bekommt für jede Prüfung 2 Punkte.
Die einzelnen Stufen sind in dieser Tabelle ersichtlich:

Total Punkte Assurer-Punkte Zu vergebende Punkte
100 0 10
110 10 15
120 20 20
130 30 25
140 40 30
150 50 35

Um voll authentifiziert zu sein (also 100 Punkte zu haben), braucht man zwischen 3 und 10 Assurer (je nach deren Erfahrung). Die Assurer findet man über die Webseite von CAcert unter dem Punkt „CAcert Web of Trust“ / „Einen Assurer finden“. Dort kann man auch sehen, wie viele Punkte der Assurer vergeben kann.

 
Wofür benötige ich wie viele Punkte?
Um von CAcert profitieren zu können, braucht man nicht unbedingt 100 Punkte. Je nach Anwendungszweck genügt eine bestätigte Mailadresse:

Voraussetzung Möglichkeit
bestätigte Mailadresse Zertifikate für 6 Monate, nur Mailadresse / Domain
50 Punkte Zertifikate für 24 Monate mit Angabe von Namen
100 Punkte Code-Signierung, Möglichkeit Assurer zu werden

Die ausführlichere Tabelle findet sich bei CAcert.

 
Wie geht es weiter?
Nachdem man voll authentifiziert ist, kann man den Assurer-Test machen (vorher das Assurer-Handbuch durchlesen). Besteht man diesen, darf man als Assurer tätig werden und beim Ausbau des Web of Trust mitmachen.
Will man dies nicht, kann man auch nur die Dienste von CAcert nutzen.