| View previous topic :: View next topic |
| Author |
Message |
forrestfunk81
Guru
Joined: 07 Feb 2006
Posts: 567
Location: münchen.de
|
 Posted: Thu Aug 01, 2013 3:02 pm Post subject: SSL Zertifikate [solved] |
 |
|
Hallo zusammen,
wie kann ich einem Zertifikat systemweit vertrauen? Ich möchte mein selbstsigniertes Zertifikat hinzufügen.
Ich kenne "/etc/ca-certificates.conf". Die dort gelisteten Zertifikte finden sich unter "/usr/share/ca-certificates/*". Die Datei ca-certificates.conf ist generiert und da steht Do not edit  Ich vermute mal, dass die beim Update überschrieben wird, außerdem müsste ich dann meine Zertifikate auch unter /usr/share/ca-certificates/ ablegen und die sind dann auch gefährdet bei Updates. Brauch ich eine eigene Certification Authority?
Und welche Programme nutzen welchen Certificate Store? Firefox bringt wohl nen eigenen mit. Ebenso Java. Was ist mit PHP auf Apache? wget nutzt anscheined die ca-certificates.
Ich komme auf dieses Thema, weil zum einen wget immer meckert. Und auf meinem Server benötige ich aktuell eine PHP Anwendung, die auf meinem Apache läuft und auf eine mit meinem Zertifikat gesicherte Rest API zugreift. Die Anwendung prüft das Zertifikat und schlägt dabei fehl. Ich könnte zwar den Code ändern, aber dann muss ich das beim nächsten Update wieder machen.
_________________
# cd /pub/
# more beer
Last edited by forrestfunk81 on Sat Aug 03, 2013 11:07 am; edited 1 time in total |
|
| Back to top |
|
 |
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Thu Aug 01, 2013 4:17 pm Post subject: |
|
|
wiso meinst du das dateine, welche vom paketmanager nicht installiert wurde, unter /usr/share/ca-certificates abgelegt wurden bei einem update gefährdet seien?
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
forrestfunk81
Guru
Joined: 07 Feb 2006
Posts: 567
Location: münchen.de
|
| Posted: Fri Aug 02, 2013 1:06 pm Post subject: |
|
|
Ja, hast natürlich recht. Das sollte nicht überschrieben werden und die /etc/ca-certificates.conf kann man ja beim update mergen. Ich habe mich nur gefragt, ob es sowas wie best practise für dieses Problem gibt.
Ich hab jetzt die ca-certifcates.conf erweitert und einen entsprechenden Link auf meine Zertifikat unter /usr/share/ca-certificates/ angelegt. wget meckert immer noch 
_________________
# cd /pub/
# more beer |
|
| Back to top |
|
|
firefly
Watchman
Joined: 31 Oct 2002
Posts: 5329
|
| Posted: Fri Aug 02, 2013 4:26 pm Post subject: |
|
|
hast du auch nach der änderung
| Code: | | update-ca-certificates |
ausgeführt?
Denn dieses tool werte /etc/ca-certificates.conf.
laut der man-page von update-ca-certificate werden alle certificate, welche unter /usr/local/share/ca-certificates auch als "vertraut" in den eigentlichen certificate store aufgenommen
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn. |
|
| Back to top |
|
|
forrestfunk81
Guru
Joined: 07 Feb 2006
Posts: 567
Location: münchen.de
|
| Posted: Sat Aug 03, 2013 11:06 am Post subject: |
|
|
Danke, das hatte ich vergessen.
_________________
# cd /pub/
# more beer |
|
| Back to top |
|
|
|
Deutsches Forum (German)
