CAcert-Client-Zertifikate mit Firefox erstellen und exportieren

Warnung!

Diese Seite dient als eine Art "Expertendokumentation". Das bedeutet, dass hier einige Dinge möglicherweise ungenau formuliert sind und sehr wahrscheinlich viele Details fehlen, die für ein genaues Verständnis der Zusammenhänge wichtig und notwendig sind. Bei sicherheitsrelevanten Themen haben Missverständnisse und Unwissen in der Regel fatale Folgen! Offene Fragen können z. B. bei den Stammtisch-Treffen angesprochen und geklärt werden.

Lieber Leser, Du wurdest gewarnt...
...natürlich kannst Du auch fehlende Teile ergänzen :-)

Funktioniert mit

Funktioniert nicht mit

1. Neues Client-Zertifikat erstellen

  1. Das CAcert-Portal auf der Web-Seite https://www.cacert.org öffnen.

    Achtung!

    Wenn der Hinweis "Dieser Verbindung wird nicht vertraut" erscheint, müssen im Browser zuerst die Stammzertifikate installiert werden.

  2. Im Menü rechts den Link "Anmelden mit Kennwort" anklicken und im CAcert-Portal anmelden.

  3. Im Menü recht den Link "Client-Zertifikate" anklicken und danach "Neu" wählen.

    cacert-create-clientcert-1.png

    • E-Mail-Adresse(n) und Name hinzufügen.
    • Die erweiterten Optionen ("Signieren mit dem Stammzertifikat der Klasse 3", SHA-256, etc.) nicht ändern.

      • cacert-create-clientcert-2.png

    • Der CCA zustimmen.
    • Auf "Weiter" klicken.

  4. Auf "Erstellen einer Zertifikat-Anfrage (CSR)" klicken, um

    1. den Browser das Schlüsselpaar erstellen zu lassen und
    2. von CAcert das dazugehörige Zertifikat, den unterschriebenen öffentlichen(!) Schlüssel, herunterzuladen.

    cacert-create-clientcert-3.png

  5. Im Abschnitt "Admin-Log" den Link "Installieren des Zertifikats in Ihrem Browser" anklicken. Die im folgenden Meldungsfenster erwähnte Sicherungskopie des Zertifikats wird im nächsten Abschnitt angelegt.

  6. Im Abschnitt "Admin-Log" die beiden Links "Download des Zertifikats im PEM-Format" und "Download des Zertifikats im DER-Format" anklicken, um das Zertifikat als Datei in zwei Formaten zu speichern.

    cacert-create-clientcert-4.png

  7. Abmelden!

    Hinweise:

    1. Das CAcert-Portal ist ab jetzt (auch) über die URL secure.cacert.org erreichbar. Lesezeichen anlegen!

    2. Beim CAcert-Portal kann man sich jetzt mit seinem Zertifikat anmelden. Ein Passwort wird dafür nicht mehr benötigt (siehe unten!).

2. Privaten Schlüssel exportieren

  1. Den Zertifikat-Manager öffnen.

    Dazu das Firefox-Menü (Entweder die Alt-Taste drücken und loslassen oder Linksklick auf die drei Querbalken) "Bearbeiten" und darin den Punkt "Einstellungen" wählen. In der Kopfleiste unter "Erweitert" den Karteireiter "Zertifikate" auswählen.

    cacert-create-clientcert-5.png

    Achtung!

    Nicht den Punkt "Automatisch eins wählen" aktivieren!

  2. Die CAcert-Stammzertifikate sind im Karteireiter "Zertifizierungsstellen" unter dem Buchstaben R für "Root CA" einsortiert.

    cacert-create-clientcert-6.png

  3. Den Karteireiter "Ihre Zertifikate" anklicken und das Zertifikat auswählen. Auf "Sichern" klicken, um das Zertifikat und den (privaten) Schlüssel in der PKCS12-Datei zu speichern.

    cacert-create-clientcert-7.png

  4. Ein sicheres Passwort für das Backup wählen.

    Achtung!

    Dieses Passwort wird im Alltag nicht benötigt, darf aber dennoch nicht verloren gehen! Das Passwort notieren und die Notiz sicher verstauen!

    cacert-create-clientcert-8.png

  5. Die gespeicherte PKCS12-Datei - und am besten mehrere Backups davon auf verschiedenen Speichermedien - sicher verwahren! (Sie enthält den Schlüssel und das Zertifikat.)

3. Client-Zertifikat und privaten Schlüssel in Firefox schützen

Achtung!

Jeder, der Zugang zum Browser hat, kann das Zertifikat und den privaten Schlüssel ohne Schwierigkeiten exportieren!

  1. Das Firefox-Menü (Entweder die Alt-Taste drücken und loslassen oder Linksklick auf die drei Querbalken) "Bearbeiten" und darin den Punkt "Einstellungen" wählen. In der Kopfleiste "Sicherheit" auswählen und den Haken bei "Master-Passwort verwenden" setzen.

    cacert-create-clientcert-9.png

  2. Ein sicheres und für den Alltag taugliches Master-Passwort setzen.

    cacert-create-clientcert-10.png

4. Client-Zertifikate und Identitäten in Firefox sicher verwenden

Achtung!

Die Verwendung des Master-Passworts schützt den Certificate- und Key-Store des Browsers! Ohne Master-Passwort liegt dieser komplett frei auf der Festplatte!

Im Browser erfordert ab jetzt jeder Zugriff auf das Zertifikat (und den privaten Schlüssel) das Master-Passwort!

Das gilt zum Beispiel auch für das Anmelden beim CAcert-Portal:

  1. Die Web-Seite https://secure.cacert.org öffnen. Zuerst wird nach dem zu verwendenden Zertifikat gefragt. Man könnte ja auch mehrere Zertifikate besitzen, evtl. mit mehreren, Zweck gebundenen Identitäten.

    cacert-create-clientcert-11.png

  2. Bevor die Operation mit dem privaten Schlüssel bzw. dem Zertifikat ausgeführt wird, muss das Master-Passwort eingegeben werden.

    cacert-create-clientcert-12.png


CategoryDocumentation

Dokumentation/CAcertClientCertWithFirefox (last edited 2014-11-17 17:35:38 by Mathias)