Nein, keine Mythe, sondern der KDE4 RSS-Reader und die KDE Zertifikatsverwaltung. Meine Frage ist, ob und wie die beiden zusammenspielen. Ich habe ein selbstgebautes Stammzertifikat und ein Serverzertifikat was von der CA (Die mit dem selbstgebauten Stammzertifikat) signiert wurde. Alles sieht für mich OK aus. In Kleoparta sehe ich auch das Serverzertifikat als 'Kind' unter dem Stammzertifikat. Das heisst für mich auch Kleopatra hat erkannt, dass das Serverzertifikat von der CA signiert wurde. Alles gut. Akregator schimpft aber, dass das Serverzertifikat von einer selbstgebauten CA signiert wurde. Das stimmt zwar, aber sollte Akregator nicht Ruhe geben wenn er die CA kennt? Und greift Akregator nicht auf Kleopatra zurück was die Zertifikate angeht? Oder muss ich noch irgendwo spezielle Einstellungen vornehmen, damit Kleopatra als Zertifikatsverwalter für KDE4 fungiert? (Firefox ist da mal wieder de Ausnahme, der bringt ja seine eigene Zertifikatsverwaltung mit.) Grübelt Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mittwoch, 25. Juli 2012 schrieb Bernd Nachtigall: (...)
Meine Frage ist, ob und wie die beiden zusammenspielen. (...)
Ach, vergesst es ... Da habe ich schon vor 1½ Jahren drüber gegrübelt. Ich hatte es vergessen und nun meine eigenen Postings wiedergefunden ... Scheint ausser mir keinen zu interessieren. Gehört aber wahrscheinlich eh besser in die KDE-Liste ... liegt wohl am Akregator, der seine eigene Zertifikatsverwaltung nutzt. Bye Bernd -------------------------------------------------- Bitte nur der Liste antworten, danke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mittwoch, 25. Juli 2012, 20:28:49 schrieb Bernd Nachtigall:
Akregator schimpft aber, dass das Serverzertifikat von einer selbstgebauten CA signiert wurde. Das stimmt zwar, aber sollte Akregator nicht Ruhe geben wenn er die CA kennt? Und greift Akregator nicht auf Kleopatra zurück was die Zertifikate angeht?
Oder muss ich noch irgendwo spezielle Einstellungen vornehmen, damit Kleopatra als Zertifikatsverwalter für KDE4 fungiert? (Firefox ist da mal wieder de Ausnahme, der bringt ja seine eigene Zertifikatsverwaltung mit.)
Auf was hast Du denn das Vertrauenslevel für das Zertifikat in Kleopatra gestellt? Kmail akzeptiert z.B. keine Zertifikate, die nicht als vertrauenswürdig gekennzeichnet wurden. Sven -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, 26. Juli 2012 schrieb Sven Burmeister:
Am Mittwoch, 25. Juli 2012, 20:28:49 schrieb Bernd Nachtigall:
Akregator schimpft aber, dass das Serverzertifikat von einer selbstgebauten CA signiert wurde. Das stimmt zwar, aber sollte Akregator nicht Ruhe geben wenn er die CA kennt? Und greift Akregator nicht auf Kleopatra zurück was die Zertifikate angeht?
Oder muss ich noch irgendwo spezielle Einstellungen vornehmen, damit Kleopatra als Zertifikatsverwalter für KDE4 fungiert? (Firefox ist da mal wieder de Ausnahme, der bringt ja seine eigene Zertifikatsverwaltung mit.)
Auf was hast Du denn das Vertrauenslevel für das Zertifikat in Kleopatra gestellt? Kmail akzeptiert z.B. keine Zertifikate, die nicht als vertrauenswürdig gekennzeichnet wurden.
Sven
Ööps? Ich kann bei keinem Zertifikat die Glaubwürdigkeit (= das Vertrauenslevel?) ändern. Diese Option ist im Kontextmenü jedes angezeigten Zertifikats ausgegraut. Verstehe ich da was nicht? Ich denke ein Zertifikat ist vertrauenswürdig, wenn es gültig ist den richten Namen hat und von einer CA signiert wurde. Btw: Es handelt sich um Zertifikate mit CA im Gegensatz zu denen aus dem web-of-trust. Bye Bernd -------------------------------------------------- Bitte nur der Liste antworten, danke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, 26. Juli 2012, 11:12:29 schrieb Bernd Nachtigall:
Ich kann bei keinem Zertifikat die Glaubwürdigkeit (= das Vertrauenslevel?) ändern. Diese Option ist im Kontextmenü jedes angezeigten Zertifikats ausgegraut.
Stimmt, bei x.509 braucht es wohl das des CA, siehe unten. Bei openPGP geht es auch so.
Verstehe ich da was nicht? Ich denke ein Zertifikat ist vertrauenswürdig, wenn es gültig ist den richten Namen hat und von einer CA signiert wurde.
Vertraut Kleopatra denn der CA? Bei mir gibt es z.B. ein Telekom Zertifikat, dass ist grün hinterlegt und wenn ich mit der Maus darüber fahre erscheint ein kleines Fenster mit der untersten Zeile: Vertrauenswürdiger Aussteller?: Ja Wenn die fehlt, ist das wahrscheinlich der Grund. Wie ich das hinbekommen habe weiß ich nicht, kann sein, dass CA Zertifikate in /etc/ssl/certs liegen müssen und ich das damals da reingeschoben und update-ca-certificates habe laufen lassen. Sven -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, 26. Juli 2012 schrieb Sven Burmeister:
Am Donnerstag, 26. Juli 2012, 11:12:29 schrieb Bernd Nachtigall:
Ich kann bei keinem Zertifikat die Glaubwürdigkeit (= das Vertrauenslevel?) ändern. Diese Option ist im Kontextmenü jedes angezeigten Zertifikats ausgegraut.
Stimmt, bei x.509 braucht es wohl das des CA, siehe unten. Bei openPGP geht es auch so.
Verstehe ich da was nicht? Ich denke ein Zertifikat ist vertrauenswürdig, wenn es gültig ist den richten Namen hat und von einer CA signiert wurde.
Vertraut Kleopatra denn der CA? Bei mir gibt es z.B. ein Telekom Zertifikat, dass ist grün hinterlegt und wenn ich mit der Maus darüber fahre erscheint ein kleines Fenster mit der untersten Zeile:
Vertrauenswürdiger Aussteller?: Ja
Hmm, die Farben sind ja konfigurierbar. Ein 'vertrauenwürdiges Wurzelzertifikat' sollte bei mir mit fettschwarzer Schrift auf blauem Hintergrund dargestellt werden. Meine CA hat aber den Status: 'Ungeprüfter Schlüssel' Die Zeile mit 'Vertrauenswürdiger Aussteller?: Ja' kommt bei mir bei keinem(!) Zertifikat. Auch nicht bei denen die man aus /etc/ssl/certs/importieren kann. Bestenfalls sehe ich als erste Zeile: 'Dieses Zertifikat ist derzeit gültig.'
Wenn die fehlt, ist das wahrscheinlich der Grund. Wie ich das hinbekommen habe weiß ich nicht, kann sein, dass CA Zertifikate in /etc/ssl/certs liegen müssen und ich das damals da reingeschoben und update-ca-certificates habe laufen lassen.
(...) Auch wenn ich mein CA-Zertifikat nach /etc/ssl/certs lege ändert sich das nicht. Und auch wenn ich das Zertifikat dann nochmal in Kleopatra importiere, ändert sich nichts. Aber ich denke Kleopatra sollte grundsätzlich der Verwaltung der benutzerbezogenen Zertifikate dienen. Und daher sehe ich keinen Zusammenhang mit /etc/ssl/certs. ... Aha, aber update-ca-certificates sagt, das myCert.pem ein unbekanntes Format hat ... komisch Kleopatra zeigt es mit der Verwendung: 'Andere Zertifikate beglaubigen' an. Bye Bernd -------------------------------------------------- Bitte nur der Liste antworten, danke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
Bernd Nachtigall -
Sven Burmeister