Wie importiere ich Zertifikate in einen WWW-Browser oder einen E-Mail-Client?

Worum geht es hier?

Wenn ein Web-Browser, E-Mail-Client oder anderes Programm eine Verbindung zu einem Serverrechner aufbaut, bei der die Identität des Rechners überprüft und die Daten verschlüsselt übertragen werden sollen, so geschieht das, indem durch die Client-Software ein vom Serverrechner vorgelegtes Zertifikat überprüft wird. Zertifikate werden dabei durch andere Zertifikate überprüft, bis die Kette bei einem so nicht mehr überprüfbaren Wurzelzertifikat endet, das der Client-Software auf anderem Wege schon bekannt sein muss.

In diesem Abschnitt der FAQ geht es primär um das Wurzelzertifikat, das die Zertifikate von Serverrechnern am LRZ, an der TUM, an der LMU und an vielen anderen Universitäten und Einrichtungen in der deutschen Hochschullandschaft beglaubigt. Es ist in den aktuellen Versionen fast aller Browser und E-Mail-Clients schon bei Auslieferung enthalten, nur nicht in denen der Mozilla-Suite, also insbesondere Firefox. Fehlt es, so hagelt es unverständliche und beängstigende Fehlermeldungen; besonders Firefox 3 tut sich mit drastischen Formulierungen und unklar beschriebenen Umgehungsmöglichkeiten hervor. Hier steht nun, wie Sie durch Import des Zertifikats solche Fehlermeldungen vermeiden können.

Sinngemäß ist dieser Artikel auch auf andere Situationen anwendbar, wo Zertifikatketten nicht abschließend geprüft werden können. Sind dabei andere Institutionen als das LRZ beteiligt, muss natürlich nicht dasselbe Wurzelzertifikat dahinterstecken wie beim LRZ.

Es geht hier aber immer nur um fremde Zertifikate, die Sie brauchen, um bei der Verbindungsaufnahme überprüfen zu können, ob Ihr Kommunikationspartner wirklich das System ist, das Sie am anderen Ende der Leitung erwarten; die zugehörigen privaten Schlüssel besitzen Sie also nicht. Es geht hier nicht um Ihre eigenen Zertifikate, mit denen Sie sich gegenüber einem Server authentifizieren können und für die Sie die privaten Schlüssel ebenfalls besitzen müssen; Informationen dazu finden Sie im Artikel über die Beschaffung eigener Zertifikate.

Welche Zertifikate brauche ich?

In der LRZ-Umgebung brauchen Sie heute eigentlich nur noch ein einziges Wurzelzertifikat, um lästige und unverständliche Fehlermeldungen zu vermeiden:

  Name (CN des CA-Zertifikats) Firma
(O und OU des CA-Zertifikats)
gültig
bis
crt Deutsche Telekom Root CA 2 Deutsche Telekom AG
T-TeleSec Trust Center
Juli
2019

Es sollte bei korrekter Konfiguration der Server nicht vorkommen, dass Sie darüber hinaus solche Zertifikate brauchen, die von diesen Wurzelzertifikaten unmittelbar oder mittelbar beglaubigt sind. Falls das doch einmal der Fall sein sollte, informieren Sie bitte die Hotline. Zu Ihrer Information gibt es auch eine Liste der Zertifikate aller Zertifizierungsstellen rund ums LRZ, aus der auch die Zertifikathierarchie hervorgeht.

Wie wird der Import durchgeführt?

Wie der Import durchgeführt wird, ist von System zu System verschieden. Immer spielt ein Klick auf den Link "crt" in der Tabelle oben eine Rolle – aber lesen Sie vorher erst noch den Rest durch.

Mozilla und Firefox (auf allen Systemen)

Beim Anklicken des obigen Links werden Sie durch Menus geführt, mit in denen Sie aufgefordert werden, das Zertifikat zu überprüfen und gegebenenfalls herunterzuladen. Beim Firefox 3 müssen Sie dabei von Hand die Einsatzzwecke auswählen; wählen Sie mindestens aus "Dieser CA vertrauen, um Websites zu identifizieren" – sonst haben Sie zwar das Wurzelzertifikat, haben aber alle seine Anwendungen untersagt.

Thunderbird (auf allen Systemen)

Leider hat Thunderbird, wiewohl aus derselben Softwareschmiede wie Mozilla, einen eigenen Zertifikatspeicher. Ein direkter Klick-Weg von dem URL mit dem Zertifikat zur Installation im Thunderbird ist nicht bekannt. Man muss also das Zertifikat von der URL erst holen und in einer Datei abspeichern, bevor man es in den Zertifikatspeicher von Thunderbird einbringen kann.

Danach werden die folgenden Schritte ausgeführt:

  • Menüpunkt "Extras -> Einstellungen ..." (in anderen Versionen: "Bearbeiten -> Einstellungen ...") auswählen
  • dort zunächst "Erweitert" und dann den Reiter "Zertifikate" auswählen
  • auf den Button "Zertifikate ..." klicken und dann auf den Reiter "Zertifizierungsstellen"
  • schließlich auf den Button "Importieren" klicken und die Datei mit dem obigen Zertifikat auswählen

Windows-Systeme (jedoch nicht Mozilla, Firefox und Thunderbird)

Bei Windows-Systemen ist der Zertifikatsspeicher einheitlich für alle Anwendungen außer Mozilla, Firefox und Thunderbird, und es ist einerlei, auf welchem Weg Sie die Zertifikate dorthin bekommen. Am einfachsten holen Sie sich die Zertifikate mit dem Browser Ihrer Wahl von den angegebenen URLs, legen sie als Dateien ab und starten den Import mit einem Doppelklick auf die Datei. Alternativ können Sie die Datei auch öffnen statt sie abzulegen und landen in denselben Menus. Denen folgen Sie dann auf den kürzesten Pfaden, indem Sie die Vorschläge akzeptieren, die Ihnen die Microsoft-Software hinsichtlich des Imports und der Ablage der Zertifikate macht.

Software auf Basis von OpenSSL unter Unix, z.B. pine

Die Zertifikate liegen bei Produkten, die die freie Software OpenSSL benutzen, in einem oder mehreren Verzeichnissen, und zwar so, dass jeweils ein Zertifikat in einer Datei liegt, auf die ein symbolischer Link zeigt. Der Dateiname des Links ergibt sich dabei aus dem Namen des Zertifikatnehmers. Wird nun dem Anwendungsprogramm ein fremdes Zertifikat vorgelegt, so errechnet es sich daraus den Dateinamen des Links und findet so das passende Zertifikat, ohne dessen eigentlichen Dateinamen wissen zu müssen - eine Suche durch alle vorhandenen Zertifikate wird so vermieden.

Nicht leicht herauszufinden ist der Pfad dieses Verzeichnisses, und ebenfalls nicht einfach ist es, festzustellen, ob nicht etwa das Anwendungsprogramm weitere Verzeichnisse konsultiert, beispielsweise aufgrund von Konfigurationsdateien, die bei der Installation der Programms durch den Administrator oder aber beim Aufruf durch den Benutzer bereitgestellt werden. An den Linux-Rechnern des LRZ ist der Pfad des OpenSSL-Zertifikatverzeichnisses /etc/ssl/certs, an den Solaris-Rechnern /usr/local/ssl/certs, welches ein Link auf /afs/lrz-muenchen.de/sw/share/Security/certificates ist. pine verwendet nur dieses Verzeichnis, was zur Folge hat, dass alle Benutzer einer Maschine denselben Vorrat an Zertifikaten benutzen müssen und ohne root-Rechte keine weiteren Zertifikate importieren können.. Bis sich die Programmierer von pine einsichtig zeigen, kann man da wenig tun, wenn man nicht selbst den Code von pine ändern will.

Wenn Sie auf Ihrem Rechner root-Rechte haben und das Verzeichnis mit den Zertifikaten wissen, können Sie die Zertifikatsdateien aus dem LRZ samt ihren Links übernehmen, die als tar-Archiv vorliegen. Diese Sammlung enthält die oben angegebenen vier Zertifikate sowie ältere Versionen davon, soweit diese noch gebraucht werden könnten, außerdem die wenigen brauchbaren von den Zertifikaten, die mit der SuSE-Distribution mitgekommen sind sowie die Serverzertifikate der Rechnerbetriebsgruppe der Informatik der TUM.