Zertifikat mit Firefox (oder Chrome) erstellen - auch bei Fehlermeldung
Ausgangslage
Seit einer Woche kann ich keine Client-Zertifikate generieren. Sowohl im Firefox, Chrome als auch Internet-Explorer…
- "Wir haben keine gültige Zertifikatsanfrage bekommen. Bitte versuchen Sie es mit einem anderen Browser"
Gibt es hierzu Informationen?
Lösung
Ich habe zuletzt im Juli 2019 erfolgreich mit dem damals aktuellen Firefox ein Zertifikat generiert. In der aktuellen Version, die Du wahrscheinlich auch hast, sowie im Chrome klappt die Zertifikatsgenerierung nicht mehr, weil die aktuellen Browser das bisher verwendete <keygen>-HTML-Element offenbar nicht mehr wie früher unterstützen.
Ich habe mir damit beholfen, den Palemoon-Browser (ein gut gepflegter Fork des alten Firefox) zu installieren und damit die Zertifikatsgenerierung zu machen.
Sie können auch den ähnlichen Browser Seamonkey oder Basilisk installieren.
Das ist m.E. der einfachste Weg, ohne direkt mit OpenSSL herumzuspielen, und manuell ein Schlüsselpaar und einen CSR zu generieren. Falls Du Dich damit auskennst, kannst Du das aber auch tun, dazu müsstest Du bei der Erstellung die erweiterten Optionen aufklappen und kannst dort den CSR einfügen.
ANMERKUNG
Palemoon, Basilisk und Seamonkey sind Firefox-Klone; jeder hat also seinen eigenen Zertifikatsspeicher, aber er kopiert Zertifikate aus dem Firefox-Speicher nicht automatisch!
Um ihre Zertifikatsmanager zu öffnen:
- Palemoon: Browserfenster - blaues Kästchen oben links - Einstellungen - Einstellungen - Erweitert - Registerkarte "Zertifikate anzeigen" im Dialogfeld "Einstellungen".
- Basilisk: Öffnen Sie das Menü mit der Schaltfläche "Hamburger" oben rechts - Präferenzen - Erweitert - Registerkarte "Zertifikate anzeigen" im Dialogfenster "Einstellungen".
- Seamonkey: Browserfenster - aus dem Menü "Bearbeiten" - Einstellungen - neues Dialogfeld wird geöffnet - Datenschutz und Sicherheit - Zertifikate - öffnet das Fenster "Zertifikate verwalten".
Das Zertifikatsfenster ist dem von Firefox sehr ähnlich.
Zuerst müssen Sie die Stammzertifikate von CAcert in den Zertifikatsspeicher von Palemoon, Basilisk oder Seamonkey installieren. Die kürzeste Option ist es, direkt zu http://www.cacert.org/index.php?id=3 (NICHT https!) mit Palemoon, Basilisk oder Seamonkey zu gehen. Wählen Sie zunächst einen PKI-Schlüssel der Klasse 1, PEM-Format, und markieren Sie Vertrauen in allen 3 Kontrollkästchen, dann wählen Sie einen PKI-Schlüssel der Klasse 3, PEM-Format, es ist kein Vertrauen erforderlich (wird vererbt) - und Sie haben der Zertifizierungsstelle CAcert Vertrauen geschenkt: Ihre weitere Kommunikation mit den CAcert-Sites erfolgt im https-Protokoll.
Wenn Sie sich mit Ihrem bestehenden Zertifikat anmelden wollen, müssen Sie es auch aus der .p12- oder .pfx-Datei im Certificate Manager importieren - wenn Sie es nicht haben, müssen Sie sich mit Ihrem Benutzernamen und Passwort anmelden. Nach dem Einloggen können Sie mit dem Palemoon- oder Seamonkey-Browser eine neue Zertifikatsanforderung generieren und beantragen.
Weitere Hilfe
Die Alternativen mit CSR sind im Wiki beschrieben, Abschnitt „Create Certificates“ https://wiki.cacert.org/TutorialsHowto
Den Hintergrund kann man in den CAcert Bugs vertiefen http://bugs.cacert.org/view.php?id=1417