Hallo Johann Lemke,
Inzwischen habe ich viele Stunden fÃŒr den Versuch aufgewendet, mein
CAcert-Zertifikat nutzbar zu machen,
Das kann ich nicht nachvollziehen, normalerweise geht das völlig
problemlos und das haben zigtausende geschafft. Zumindest auf PCs sollte
es leicht sein, bei Smartphones kann es eher Hakeleien geben.
Muss jeder, dem ich eine (mit meinem CAcert-Zertifikat) signierte Mail
sende, die gleiche mÃŒhsame "Wurzel-Behandlung" durchfÃŒhren, bevor er
meiner digitalen Signatur vertrauen kann?
Ja, jeder muss die Stammzertifikate derjenigen CA haben, von der die
Zertifikate stammen, mit denen die E-Mails signiert sind. Viele
Stammzertifikate sind vom Browser-Hersteller vorinstalliert, die
Stammzertifikate von CAcert mÃŒssen sie selber installieren, das ist aber
normalerweise völlig problemlos.
WÀhle ich "class3.crt", dann werden 2 Passwörter verlangt, erstens das
meines Sicherungsmoduls (ok) und zweitens dasjenige, mit welchem ich die
crt-Datei gesichert habe.
Da stimmt etwas nicht. Heruntergeladene Zertifikate sind nie mit einem
Kennwort versehen, Stammzertifikate gleich gar nicht.
Kennworte kommen nur ins Spiel, wenn Sie _eigene_ Zertifikate
exportieren und erneut importieren wollen.
"Die Datei konnte nicht dekodiert werden. Entweder sie ist nicht im
PKCS#12 Format, wurde fehlerhaft ÃŒbertragen, oder das Passwort, das Sie
eingegeben haben, war inkorrekt."
Dann passt etwas nicht zusammen.
"class3.crt" hat kein Passwort, fehlerhafte Ãbertragung kann ich mir
nicht vorstellen, denn ich habe die Fingerprints verglichen.
Eben. Stammzertifikate haben nie ein Kennwort.
Ich bin ratlos.
Hier ein paar Standard-Texte, die vielleicht weiterhelfen:
Gehen Sie auf http://www.cacert.org/, dann rechts oben auf
"Stammzertifikat". Wenn Sie den Internet Explorer oder Chrome benutzen,
verwenden Sie den Windows-Installer.
Wenn Sie andere Browser oder Betriebssysteme benutzen, klicken Sie bei
"Klasse 1 PKI SchlÃŒssel" auf "Stammzertifikat (PEM Format)" oder ein
anderes fÃŒr Sie passendes Format. Das Stammzertifikat sollte automatisch
eingerichtet werden. Wenn das nicht klappt, machen Sie einen Rechtsklick
auf den Eintrag und sichern das Zertifikat als Datei auf Ihre
Festplatte. Dann können Sie es von Hand einrichten.
In gleicher Weise klicken Sie bei "Klasse 3 PKI SchlÃŒssel" auf
"Zwischenzertifikat (PEM Format)" und richten es ein.
Stammzertifikate Klasse 3 werden teils als Stammzertifikate, teils als
Zwischenzertifikate bezechnet.
Danach gehen Sie in Firefox zu Extras -> Einstellungen -> Erweitert ->
Zertifikate anzeigen -> Zertifizierungsstellen. Dann sollten Sie die
Zeilen finden:
Root CA
CA Cert Signing Authority
CAcert Class 3 Root
An der gleichen Stelle können Sie gegebenenfalls auf "Importieren..."
gehen, um die Zertifikate von der Festplatte zu laden. Wenn Sie die
Zertifikate direkt installiert haben und Sie benötigen sie auch an
anderen Stellen, können Sie sie hier exportieren und auf Festplatte sichern.
Schauen Sie auf
https://www.cacert.org/policy/CertificationPracticeStatement.php, wie
wir arbeiten und entscheiden dann selber, ob Sie uns trauen wollen.
--------------------------------------------
Bevor Sie ein Server-Zertifikat erstellen können, mÌssen Sie die
entsprechende Domain Ihrem Konto zufÃŒgen.
In gleicher Weise mÌssen Sie (zusÀtzliche) E-Mail-Adressen Ihrem Konto
zufÃŒgen, bevor Sie fÃŒr diese E-Mail-Adressen Client-Zertifikate
erstellen können.
Da mit Client-Zertifikaten leichter umzugehen ist (vieles lÀuft
automatisch), schlage ich vor, zuerst ein Client-Zertifikat zu
erstellen, um damit vertraut zu werden.
Als allerersten Schritt mÃŒssen Sie die Stammzertifikate (root)
einrichten. Die Stammzertifikate Klasse 1 und Klasse 3 mÃŒssen auf allen
Rechnern installiert werden, die mit CAcert-Zertifikaten arbeiten.
Um ein Client-Zertifikat zu erstellen, melden Sie sich an Ihrem
CAcert-Konto an. Im MenÌ auf der rechten Seite gehen Sie zu
"Client-Zertifikate" -> "Neu" und fÃŒllen die entsprechenden Felder aus.
In den meisten FÀllen können Sie die Vorgaben belassen. Danach wird das
Zertifikat automatisch installiert. In Firefox bei Extras ->
Einstellungen -> Erweitert -> VerschlÃŒsselung -> Zertifikate anzeigen im
Reiter "Ihre Zertifikate" können Sie kontrollieren, ob das Zertifikat
eingerichtet ist.
Dann fÃŒgen Sie Ihre Domains zu Ihrem Konto hinzu, sofern noch nicht
passiert.
Jetzt können Sie Ihre Server-Zertifikate erstellen. Erst erzeugen Sie
mit einem externen Programm z.B. OpenSSL ein CSR. In Ihrem CAcert-Konto
gehen Sie zu "Server-Zertifikate! -> "Neu", fÃŒgen das CSR in das Fenster
ein und schicken es ab. Sie bekommen das signierte Server-Zertifikat
zurÃŒck, das Sie dann mit Kopieren-und-EinfÃŒgen zu Ihrem Server
Ìbertragen. In Firefox können Sie dann in Extras -> Einstellungen ->
Erweitert -> VerschlÃŒsselung -> Zertifikate anzeigen im Reiter "Server"
kontrollieren, ob das Zertifikat eingerichtet ist.
---------------------------------------
Hier eine genaue Beschreibung wie man ein Client-Zertifikat einrichtet.
Melden Sie sich an Ihrem CAcert.Konto an. Dann gehen Sie im MenÌ auf der
rechten Seite auf "Client-Zertifikate" --> "Neu". Auf der Seite, die
sich öffnet, markieren Sie bei "HinzufÌgen" die E-Mail-Adresse(n), auf
die sich das Zertifikat beziehen soll. Dann wÀhlen die Klasse 1 oder
Klasse 3, vorzugsweise Klasse 3.
Wenn Sie mehr als 50 Assurance-Punkte haben, wÀhlen Sie als nÀchstes die
Namensvariante (Namensbestandteile), die das Zertifikat enthalten soll.
"Zertifikats-Anmeldung mit diesem Zertifikat freigeben" sollte
angekreuzt sein, es ist Standard. Ob "Erweiterte Optionen anzeigen"
angekreuzt ist, ist zweitrangig. Aber wenn, wÀhlen Sie besser "Keine
Single-Sign-On ID".
Normal sollte das Fenster "Wahlweises Client-CSR" leer sein. Dann lÀuft
das weitere weitgehend automatisch. Das sollten Sie so machen.
Alternativ können Sie mit einem externen Programm ein CSR erstellen und
hier einfÃŒgen. Dann erfolgt das Erstellen des Zertifikats von Hand und
Sie sollten wirklich wissen, was Sie tun.
Ich nehme also an, das Fenster ist leer. KLicken Sie auf "Weiter".
Belassen Sie die SchlÃŒsselgröÃe auf "Hochgradig" und klicken Sie auf
"Erstellen einer Zertifikatsanfreage (CSR)". Jetzt weist CAcert Ihren
Browser an, ein Zertifikat bestehend aus privatem und öffentlichem
SchlÃŒssel zu erstellen. Der private SchlÃŒssel verlÀÃt normalerweise
niemals Ihren Browser. Der öffentliche SchlÌssel wird zu CAcert
geschickt, dort signiert und registriert und zurÃŒck geschickt.
Ihr Browser ist eine Weile beschÀftigt, dann bekommen Sie das MenÌ:
Installieren Sie das Zertifikat in Ihren Browser
Herunterladen des Zertifkats im PEM-Format
Herunterladen des Zertifkats im DER-Format
Normal sollten Sie die erste Option wÀhlen. Aber Sie können auch die
zweite oder dritte Option wÀhlen, um das Zertifikat als Datei abzulegen
und von Hand zu installieren. Ich nehme an, sie wÀhlen die erste Option.
Dann bekommen Sie die Meldung "Ihr persönliches Zertifikat wurde
installiert. Sie sollten jetzt eine Sicherheitskopie (Backup)
erstellen". Wenn Sie auf "ok" klicken, ist alles erledigt.
In Firefox können Sie bei Extras -> Einstellungen -> Erweitert ->
Zertifikate -> Zertifikate anzeigen im Tab "Ihre Zertifikate"
ÃŒberprÃŒfen, ob das Zertifikat eingerichtet wurde.
Jetzt können Sie das Zertifikat auswÀhlen und auf "Sichern" klicken. Da
bekommen Sie eine Datei-Auswahl, in der Sie wÀhlen können, in welchem
Verzeichnis Sie das Zertifikat speichern wollen. Geben Sie acht auf
diese Datei. Sie enthÀlt das vollstÀndige Zertifikat einschlieÃlich des
privaten SchlÌssels. Wenn der in die HÀnde der falschen Leute gerÀt,
können die Ihre IdentitÀt Ìbernehmen und Zertifikate in ihrem Namen
benutzen.
Viele GrÃŒÃe, Werner
CAcert Support
