Root Zertifikat importieren
Hallo Liste, wie importiere ich auf einer SuSE-Maschine ein Root-Zertifikat, im konkreten Fall erzeugt von einer Hardware mit Namen "eBlocker"(1), zur systemweiten Nutzung? Ein Link auf eine deutschsprachige Anleitung reicht mir schon. (1) <https://eblocker.org/> F.D. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi Am 28.03.2020 um 17:08 schrieb Florian Dietzsch:
Hallo Liste,
wie importiere ich auf einer SuSE-Maschine ein Root-Zertifikat, im konkreten Fall erzeugt von einer Hardware mit Namen "eBlocker"(1), zur systemweiten Nutzung?
Beschäftige Dich mal mit dem Paket https://software.opensuse.org/package/ca-certificates das sollte helfen. mfg M.Heinze
Ein Link auf eine deutschsprachige Anleitung reicht mir schon.
F.D.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Guten Morgen Markus Hilft mir leider nicht weiter, weil a.) Das bereits installiert zu sein scheint, aber b.) es das Verzeichnis, wo ich Zertifikate erwarten würde, nämlich /usr/share/ca-certificates nicht zu geben scheint. c.) Ich selbst keine Installation von SuSE besitze. d.) Ich auch vorerst nicht an diesen fraglichen Rechner heran kommen kann, auch überhaupt nicht absehbar ist, wann das möglich wäre. Das Wiki (auf Deutsch) schweigt sich zu diesem Themenkomplex aus. Darum ja meine bitte um eine möglichst deutsche Anleitung, die ich weiter leiten kann. F.D. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Moin moin, versuch mal: /usr/share/pki/trust/anchors oder /usr/share/pki/trust/ und/oder /etc/ssl/certs und dann ein update-ca-certificates kommt immer darauf an wer mit dem Cert arbeiten soll. mfg M.Heinze Am 29.03.2020 um 08:58 schrieb Florian Dietzsch:
Guten Morgen Markus
Hilft mir leider nicht weiter, weil
a.)
Das bereits installiert zu sein scheint, aber
b.)
es das Verzeichnis, wo ich Zertifikate erwarten würde, nämlich
/usr/share/ca-certificates
nicht zu geben scheint.
c.)
Ich selbst keine Installation von SuSE besitze.
d.)
Ich auch vorerst nicht an diesen fraglichen Rechner heran kommen kann, auch überhaupt nicht absehbar ist, wann das möglich wäre.
Das Wiki (auf Deutsch) schweigt sich zu diesem Themenkomplex aus. Darum ja meine bitte um eine möglichst deutsche Anleitung, die ich weiter leiten kann.
F.D.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 28.03.20 um 17:08 schrieb Florian Dietzsch: (...)
wie importiere ich auf einer SuSE-Maschine ein Root-Zertifikat, im konkreten Fall erzeugt von einer Hardware mit Namen "eBlocker"(1), zur systemweiten Nutzung? Was ist das denn eine 'SuSE-Maschine'? openSUSE? SLES? SLED? Welche Version?
Und was ist eine 'systemweite Nutzung' einer CA? So etwas gibt es IMHO nicht. (Auch unter Windows nicht!) Jede Applikation nutzt den Zertifikatsspeicher der dort konfiguriert ist. Das KANN derselbe, oder auch ein anderer/eigener sein.
Ein Link auf eine deutschsprachige Anleitung reicht mir schon.
Das sieht arg nach MITM aus ... Du willst das sicher im Browser nutzen ... Dann musst Du uns sagen welche(n) Browser Du nutzt. (... und ggf. was Du sonst noch über diesen Service laufen lassen willst. (In Browsern gibt es im allgemeinen einen Punkt 'Zertifikat hinzufügen'.) Aber du bekommst ja eh eine Zertifikatswarnung bei einem unbekannten Zertifikat. Dort kannst Du es dann meistens auch direkt hinzufügen. Aber bedenke das dieser Dienst Deine verschlüsselte (https) Kommunikation (Bank, Behörden) mitliest und ggf. filtert ... Ich wollte das nicht haben ... Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Sun, 29 Mar 2020 10:18:45 +0200 Bernd Nachtigall <bnacht@web.de> wrote:
Und was ist eine 'systemweite Nutzung' einer CA? So etwas gibt es IMHO nicht. (Auch unter Windows nicht!)
Jede Applikation nutzt den Zertifikatsspeicher der dort konfiguriert ist. Das KANN derselbe, oder auch ein anderer/eigener sein.
Das ist zwar formal richtig, trotzdem nutzen viele Anwendungen (auch unter MS-Win!) und erst recht viele Services einen zentralen Zertifikatsspeicher, dessen Inhalt sie vertrauen. Bei Linux liegt der meist unter /etc/ssl und/oder /etc/pki und wird mit Tools wie update-ca-certificates zusammengesetzt. Ausnahmen gibt es z.B. bei Java mit dessen Truststores, bei Firefox und bei benutzerspezifischen Zertifikatsspeichern - die dann auch wieder applikationsspezifisch sein können, aber nicht müssen. Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Am 29.03.20 um 10:18 schrieb Bernd Nachtigall:
Am 28.03.20 um 17:08 schrieb Florian Dietzsch: (...)
wie importiere ich auf einer SuSE-Maschine ein Root-Zertifikat, im konkreten Fall erzeugt von einer Hardware mit Namen "eBlocker"(1), zur systemweiten Nutzung? Was ist das denn eine 'SuSE-Maschine'? openSUSE? SLES? SLED? Welche Version?
Eine aktuelle Installation von 15.1.
Und was ist eine 'systemweite Nutzung' einer CA? So etwas gibt es IMHO nicht. (Auch unter Windows nicht!)
Doch, geht der Information nach mit Windows 10 und Apple OS. Dort holen sich die Standardbrowser das eBlocker-Zertifikat zur Behandlung von HTTPS-Verbindungen aus dem Zertifikatspeicher des Betriebssystems. Mit *buntu-Derivaten, so eine Auskunft aus der LUG, ist geht das dort analog einzurichten. Da muss es unter /usr/share/ca-certificates gespeichert und per dpkg-Befehl aktiviert werden. Browser wie Midori oder Opera können dieses Zertifikat dort auslesen und nutzen.
Das sieht arg nach MITM aus ...
Ich kann zu der technischen Seite bisher nicht viel sagen. Denn mehr als das was in verschiedenen Veröffentlichungen zu der eBlocker-Hardware, und dem Betriebssystem an sich geschrieben wurde kenne ich auch nicht. Dort war das Echo allerdings im allgemeinen recht positiv: Einfache, und auch durch Laien zu beherrschende, Lösung um Werbung und Tracker für ein gesamtes Heimnetzwerk zu kontrollieren, bei Bedarf auszuschließen. Erweitert z.B. mit Funktionen wie Tor-Integration für einzelne Geräte, oder einen Familien/Kinderfilter.
Du willst das sicher im Browser nutzen ... Dann musst Du uns sagen welche(n) Browser Du nutzt. (... und ggf. was Du sonst noch über diesen Service laufen lassen willst. (In Browsern gibt es im allgemeinen einen Punkt 'Zertifikat hinzufügen'.) Aber du bekommst ja eh eine Zertifikatswarnung bei einem unbekannten Zertifikat. Dort kannst Du es dann meistens auch direkt hinzufügen.
Ich kann mir morgen bei einem Freund einen Raspi borgen. Muss ich nur noch eine Stelle finden die mir eine SD-Karte verkauft. ;-) Ist ja z.Z. alles nicht so einfach! Dann packe ich das eBlocker System drauf und schaue mir es an. F.D. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 29.03.2020 um 17:42 schrieb Florian Dietzsch:
Hallo
Am 29.03.20 um 10:18 schrieb Bernd Nachtigall:
Am 28.03.20 um 17:08 schrieb Florian Dietzsch: (...)
wie importiere ich auf einer SuSE-Maschine ein Root-Zertifikat, im konkreten Fall erzeugt von einer Hardware mit Namen "eBlocker"(1), zur systemweiten Nutzung? Was ist das denn eine 'SuSE-Maschine'? openSUSE? SLES? SLED? Welche Version?
Eine aktuelle Installation von 15.1.
Und was ist eine 'systemweite Nutzung' einer CA? So etwas gibt es IMHO nicht. (Auch unter Windows nicht!)
Doch, geht der Information nach mit Windows 10 und Apple OS.
Dort holen sich die Standardbrowser das eBlocker-Zertifikat zur Behandlung von HTTPS-Verbindungen aus dem Zertifikatspeicher des Betriebssystems.
wenn Du mit Standard IE/Edge meinst ja, ein Firefox wird dies nicht tun. Ach ja Chrom tut dies auch, kuscheln ja auch mit Edge. Wie der Vorredner schon sagte ist das applikationsabhängig.
Mit *buntu-Derivaten, so eine Auskunft aus der LUG, ist geht das dort analog einzurichten.
Da muss es unter
/usr/share/ca-certificates
Ja Readme des Packages lesen dort sind die Distri eigenheiten zumeist erklärt, wenngleich nicht immer in Deutsch
gespeichert und per dpkg-Befehl aktiviert werden.
Browser wie Midori oder Opera können dieses Zertifikat dort auslesen und nutzen.
Das sieht arg nach MITM aus ...
Ich kann zu der technischen Seite bisher nicht viel sagen. Denn mehr als das was in verschiedenen Veröffentlichungen zu der eBlocker-Hardware, und dem Betriebssystem an sich geschrieben wurde kenne ich auch nicht.
Dort war das Echo allerdings im allgemeinen recht positiv:
Einfache, und auch durch Laien zu beherrschende, Lösung um Werbung und Tracker für ein gesamtes Heimnetzwerk zu kontrollieren, bei Bedarf auszuschließen. Erweitert z.B. mit Funktionen wie Tor-Integration für einzelne Geräte, oder einen Familien/Kinderfilter.
IMHO ein PiHole tut dies wohl auch und der Privatemodus im Browser. Man muss zwar auf einiges an Funktionalität verzichten aber das hast Du mit eBlocker auch, sobald eine Seite Zertifikatspinning macht war es das und das ist auch sehr gut so MITM machen nur Bösewichte und neugierige Chefs
Du willst das sicher im Browser nutzen ... Dann musst Du uns sagen welche(n) Browser Du nutzt. (... und ggf. was Du sonst noch über diesen Service laufen lassen willst. (In Browsern gibt es im allgemeinen einen Punkt 'Zertifikat hinzufügen'.) Aber du bekommst ja eh eine Zertifikatswarnung bei einem unbekannten Zertifikat. Dort kannst Du es dann meistens auch direkt hinzufügen.
Ich kann mir morgen bei einem Freund einen Raspi borgen. Muss ich nur noch eine Stelle finden die mir eine SD-Karte verkauft. ;-) Ist ja z.Z. alles nicht so einfach!
ich konnte im Onlineshopping noch keine Einschränkungen feststellen. mfg
Dann packe ich das eBlocker System drauf und schaue mir es an.
F.D.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sun, 29 Mar 2020 10:18:45 +0200 schrieb Bernd Nachtigall <bnacht@web.de>:
Am 28.03.20 um 17:08 schrieb Florian Dietzsch: (...)
wie importiere ich auf einer SuSE-Maschine ein Root-Zertifikat, im konkreten Fall erzeugt von einer Hardware mit Namen "eBlocker"(1), zur systemweiten Nutzung? Was ist das denn eine 'SuSE-Maschine'? openSUSE? SLES? SLED? Welche Version?
Und was ist eine 'systemweite Nutzung' einer CA? So etwas gibt es IMHO nicht. (Auch unter Windows nicht!)
doch, das gibt es. in jedem privaten Netzwerk kann ich meine eigene X.509 Infrastruktur definieren und installieren. Es sei denn, dass Netzdienste auch Verbindungen zu externen Diensten aufnehmen müssen. Dann sollte die CA von einer zuverlässigen Authority benutzt. werden.
Jede Applikation nutzt den Zertifikatsspeicher der dort konfigurrt ist. Das KANN derselbe, oder auch ein anderer/eigener sein.
Nein, falsch. Jede Anwendung, die mit openSSL kompiliert worden ist, sucht die Certificate Authority in /etc/ssl. Es sein denn, die Konfiguration ermöglicht einen anderen Pfad, so alle netzwerkbasierten Anwendungen, wie z.B. Postfix, OpenLDAP, cyrus-ipmap etc.
Ein Link auf eine deutschsprachige Anleitung reicht mir schon.
[...]
-Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sat, 28 Mar 2020 17:08:56 +0100 schrieb Florian Dietzsch <flroidie@gmx.de>:
Hallo Liste,
wie importiere ich auf einer SuSE-Maschine ein Root-Zertifikat, im konkreten Fall erzeugt von einer Hardware mit Namen "eBlocker"(1), zur systemweiten Nutzung?
Ein Link auf eine deutschsprachige Anleitung reicht mir schon.
Kopiere die CA nach /var/lib/ca-certificates dann mit openssl c_rehash den hash link auf /etc/ssl setzen. https://www.openssl.org/docs/manmaster/man1/c_rehash.html -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sun, 29 Mar 2020 20:44:55 +0200 schrieb Dieter Klünter <dieter@dkluenter.de>:
Am Sat, 28 Mar 2020 17:08:56 +0100 schrieb Florian Dietzsch <flroidie@gmx.de>:
Hallo Liste,
wie importiere ich auf einer SuSE-Maschine ein Root-Zertifikat, im konkreten Fall erzeugt von einer Hardware mit Namen "eBlocker"(1), zur systemweiten Nutzung?
Ein Link auf eine deutschsprachige Anleitung reicht mir schon.
Kopiere die CA nach /var/lib/ca-certificates dann mit openssl c_rehash den hash link auf /etc/ssl setzen.
Ich muss mich korrigieren, c_rehash gibt es nicht mehr, OpenSSL hat eine rehash Funktion eingebaut, also cd /var/lib/certificates openssl rehash(1) -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 28.03.20 um 17:08 schrieb Florian Dietzsch: Hallo Liste, ich habe erst am Wochenende mir eine passende Hardware besorgen können. Im Prinzip macht der eBlocker genau das was er verspricht. Und hier bei mir ist es auch kein Thema das von dort generierte Zertifikat so zu installieren, dass es systemweit zur Verfügung steht. <https://www.gservon.de/ubuntudebian-root-zertifikate-importieren/> Auf dem fraglichen Rechner mit openSUSE funktioniert offenbar keiner der hier vorgeschlagenen Wege. Da ich auch weiterhin keine direkten Zugriff auf den Rechner bekommen kann, und mein Versuch eine entsprechende Testinstallation (Virtual Box) zu nutzen fehlgeschlagen ist, kann ich nicht sagen woran es im Detail scheitert. Danke vorerst, auch im Namen des eigentlich Fragenden. F.D. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
Bernd Nachtigall -
Dieter Klünter -
Florian Dietzsch -
Markus Heinze -
Tobias Crefeld