česky | englisch | deutsch | nederlands | français | italiano | português | español/castellano | 한국어 | українська | svenska | català | русский | polski
Ich kann mein Zertifikat nicht erstellen oder erneuern, weil es sich aufhängt
Die Symptome
Eine typische Meldung eines Benutzers:
"Zertifikatserneuerung seit Tagen im Status 'ausstehend'. Wie kann ich es dann entfernen/erneuern? Danke."
Der Grund
Der Grund dafür ist, dass diese Vorgänge absichtlich für die Zertifikate eingestellt wurden, die mit der Haupt-CA-Zertifikatswurzel, d.h. Class 1 Root, signiert werden sollten.
Die Erstellung eines neuen Zertifikats und die Erneuerung funktionieren für die Zertifikate, die mit der Zwischen-CAcert-Root, d.h. Class 3 Root, signiert sind.
Leider kann ein Benutzer ein mit Class 3 Root signiertes Zertifikat nur erstellen/verlängern, wenn er 50+ Assurance Points hat.
Weitere Informationen
Wenn Sie sich die Seriennummer Ihres Zertifikats ansehen und der Wert 099999hex übersteigt, wurde dieses von einer Class 1 Root signiert.
Die Ausstellung und Erneuerung solcher Zertifikate wurde eingestellt und sollte für immer verboten werden.
Der Grund:
Es wurde eine neue Regel für Zertifizierungsstellen geschaffen, die besagt, dass kein Zertifikat ausgestellt werden kann, das mit der Wurzel der Haupt-CA signiert ist. Bei CAcert wird ein solches Hauptzertifikat "Class 1 Root" genannt (PKI-Schlüssel Class 1 auf der Seite Roots https://www.cacert.org/index.php?id=3). Davon ist also nicht nur CAcert, sondern alle Zertifizierungsstellen betroffen.
Die Zwischen-Root-Zertifikate müssen erstellt und für die Ausstellung von Zertifikaten für Benutzer verwendet werden.
Alle neuen Zertifikate sollten so ausgestellt werden, dass sie von der Zwischenwurzel signiert sind, die bei CAcert als "Class 3 Root" bezeichnet wird (PKI-Schlüssel Class 3 auf der Seite Roots https://www.cacert.org/index.php?id=3).
Leider sieht die bestehende CAcert-Politik vor, dass solche Zertifikate nur für Benutzer mit 50+ Assurance Points (APs) ausgestellt werden. Sie können über die Vorteile von 50+ APs hier lesen:
https://wiki.cacert.org/FAQ/Privileges
Wie erreicht man 50+ APs
Es ist möglich, mit etwa 2 bis 3 Assurance diese Punktzahl zu erreichen. Bitte verwenden Sie die Suche nach Ihrem Wohn- oder Arbeitsort:
https://secure.cacert.org/wot.php?id=12
nachdem Sie sich bei Ihrem Konto angemeldet haben.
Vereinbaren Sie dann 2 bis 3 "face to face" Termine mit 2 bis 3 gefundenen Assurern. Ein Assurer kann Ihnen 10 bis 35 Vertrauens- oder Assurance-Punkte geben. Wenn Sie 50+ APs erreicht haben, können Sie ein neues, von der Class 3 Root signiertes Zertifikat erstellen, das z.B. viel länger gültig ist als das aktuelle.
Die Erneuerung von alten Zertifikaten, die mit der Class 1 Root signiert wurden, ist nicht möglich.
Alle Funktionen für Zertifikate, die mit Class 3 Root (mit der Seriennummer < 100000hex) signiert sind, funktionieren problemlos.