Das eigene Root-Zertifikat ausrollen

Nachdem das eigene Root-Zertifikat nun erstellt ist, muss es noch für die Geräte "bekannt" gemacht werden, die es nutzen sollen. Hierfür müssen einige Schritte ausgeführt werden, die ich euch hier beschreibe.
Wenn ihr ein berufliches Gerät privat nutzt, dann müsst ihr zwingend mit eurer IT-Abteilung absprechen, ob ihr zusätzliche Root-Zertifikate installieren, resp. diesen Vertrauen dürft.
Es handelt sich hier um einen erheblichen Eingriff in die Sicherheit und nicht jeder Arbeitgeber findet solche Handlungen ohne Rücksprache besonders lustig.
Exportieren des Root-Zertifikates und der Sperrliste
Zunächt einmal müsst ihr euer neu erstelltest Root-Zertifikat und auch die Sperrlist, wenn ihr sie denn nutzt, aus XCA heraus exportieren, um sie auf euren Geräten zu installieren.
This image for Image Layouts addon
Zum Exportieren des Root-Zertifikates wechselt ihr zunächst in XCA wieder auf den Reiter Zertifikate.

Dort markiert ihr euer Zertifikat und klickt auf Export.
This image for Image Layouts addon
Im Export-Dialog gebt ihr den Dateinamen und -pfad an. Ich empfehle den Namen gleich dem Namen zu setzen, den ihr bei der Konfiguration des Zertifikates unter Authority Information Access (AIA) angegeben habt.

Als Dateityp wählt ihr PEM (.crt), da ja noch keine Kette existiert und ihr den privaten Schnlüssel auch nicht mit exportierenund veröffentlichen wollt.
This image for Image Layouts addon
Für den Export der Sperrliste geht ihr analog dem Zertifikat vor. Ihr wechselt auf den Reiter Sperrlisten, markiert dort die aktuellste Sperrliste und klickt auf Export.
This image for Image Layouts addon
Ebenso wie beim Zertifikat gebt ihr hier den Pfad und den Namen an, unter dem ihr die Liste exportieren wollt. Auch hier empfehle ich, den Namen gleich dem in der Konfiguration des Zertifikates unter X509v3 CRL Distribution Points (CDP) zu wählen, ihr erspart euch dadurch das spätere Umbenennen.

Der Dateityp wird bei PEM (*.pem) belassen. Im Dateinamen solltet ihr jedoch schon die Dateiendung .crl angeben.

Related Articles