Hilfe:SSL-Zertifikate

Aus F-Praktikum SOWAS Wiki
Wechseln zu: Navigation, Suche

SSL-Zertifikate der Ruhr-Universität Bochum

Die Zertifikatskette für verschlüsselte Internetseiten der Ruhr-Universität Bochum (z.B. bei diesem Wiki, Blackboard, perMail...) ist nicht bei allen Browsern vorhanden. so dass eine Validierung des SSL-Zertifikates für die Verbindung nicht erfolgen kann. Hierdurch wird bei Verbindungen zu einer solchen verschlüsselten Internetseite zunächst eine Sicherheitsabfrage angezeigt, wo man bestätigen muß, das man der Verbindung vertraut und das Zertifikat akzeptiert. Dies betrifft u.a. die Browser

  • ggf. ältere MS Internet-Explorer, wenn keine Sicherheitsupdates durchgeführt wurden
  • Gecko-basierende Internetbrowser (Mozilla, Firefox, Konqueror,...)

Die fehlenden Zertifikate der Zertifikatskette können über die Public-Key-Infrastruktur-Seite (PKI) der Ruhr-Universität Bochum einfach installiert werden. Hiermit kann dann eine Validierung der verschlüsselten Verbindung zur Web-Servern der RUB sichergestellt werden.

Installation der Zertifikate

Für die Zertifikatskette müssen drei Zertifikate in den Browser importiert werden. Durch anklicken der nachfolgenden Links (.crt-Erweiterung oder .der-Erweiterung) sollten diese direkt vom Browser in den Zertifikatsspeicher importiert werden (je nach Browser erfolgt dies ggf. nur mit der .crt bzw. .der-Erweiterung).

Wurzelzertifikat Deutsche Telekom Root CA 2

CA-Zertifikat DFN-Verein PCA Global - G01

CA-Zertifikat Ruhr-Universität Bochum

Prüfung der Zertifikate

Nach der Installation sollten die Zertifikate überprüft werden, um sicherzustellen, dass die korrekten Zertifikate installiert wurden. Die Daten der Zertifikate wie Gültigkeitsdauer und Fingerabdrücke für die Prüfung sind auf der PKI-Seite der RUB zu finden (PKI Zertifikatskette).

Prüfung beim Firefox

Man öffne die Einstellungsseite ("Bearbeiten -> Einstellungen"), wähle "Erweitert" und den Reiter "Verschlüsselung".

Hilfe-ssl-firefox1.png

Mit dem Button "Zertifikate anzeigen" gelangt man zum Zertifikatsmanager. Hier wählt man den Reiter "Zertifizierungsstellen" und sucht die Einträge zur Deutschen Telekom bzw. DFN-Verein.

Hilfe-ssl-firefox2.png

Durch markieren einer der Einträge und Verwendung des Buttons "Ansehen..." kann man sich die Daten der Zertifikate anschauen und sollte diese mit denjenigen auf der RUB-PKI-Seite vergleichen um sicherzustellen, das man die richtigen Zertifikate installiert hat und nicht gefälschte installiert hat.

Einträge für Deutsche Telekom Root CA 2 (Stand 04.06.2009) Einträge für CA-Zertifikat DFN-Verein PCA Global - G01 (Stand 04.06.2009) Einträge für CA-Zertifikat Ruhr-Universität Bochum (Stand 04.06.2009)

Zur Online-Prüfung der Zertifikate sollte noch OCSP ausgewählt werden (Online-Dienst zur Prüfung von Zertifikaten). Bei der Einstellungsseite vom Firefox und den erweiterten Einstellung wählt man den Button "Validierung"

Hilfe-ssl-firefox6.png

Beim Popup-Fenster wählt man die obere Checkbox aus. Hiermit wird bei Anfrage von gesicherten Verbindungen geprüft, ob das Zertifikat noch gültig ist und nicht zwischenzeitlich zurückgerufen wurde (weil es z.B. gestohlen wurde). Die untere Checkbox unterbindet die Akzeptierung von Zertifikaten, wenn der OCSP-Dienst nicht abgefragt werden kann (und somit keine Prüfung der Zertifikate auf Gültigkeit stattfinden kann).

Hilfe-ssl-firefox7.jpg


Links