Zertifikat mit Firefox (oder Chrome) erstellen - auch bei Fehlermeldung

Ausgangslage

Seit einer Woche kann ich keine Client-Zertifikate generieren. Sowohl im Firefox, Chrome als auch Internet-Explorer…

Gibt es hierzu Informationen?

Lösung

Basilisk Palemoon Seamonkey

Ich habe zuletzt im Juli 2019 erfolgreich mit dem damals aktuellen Firefox ein Zertifikat generiert. In der aktuellen Version, die Du wahrscheinlich auch hast, sowie im Chrome klappt die Zertifikatsgenerierung nicht mehr, weil die aktuellen Browser das bisher verwendete <keygen>-HTML-Element offenbar nicht mehr wie früher unterstützen.

Ich habe mir damit beholfen, den Palemoon-Browser (ein gut gepflegter Fork des alten Firefox) zu installieren und damit die Zertifikatsgenerierung zu machen.

Sie können auch den ähnlichen Browser Seamonkey oder Basilisk installieren.

Das ist m.E. der einfachste Weg, ohne direkt mit OpenSSL herumzuspielen, und manuell ein Schlüsselpaar und einen CSR zu generieren. Falls Du Dich damit auskennst, kannst Du das aber auch tun, dazu müsstest Du bei der Erstellung die erweiterten Optionen aufklappen und kannst dort den CSR einfügen.

/!\ ANMERKUNG /!\

Palemoon, Basilisk und Seamonkey sind Firefox-Klone; jeder hat also seinen eigenen Zertifikatsspeicher, aber er kopiert Zertifikate aus dem Firefox-Speicher nicht automatisch!

Um ihre Zertifikatsmanager zu öffnen:

Das Zertifikatsfenster ist dem von Firefox sehr ähnlich.

Zuerst müssen Sie die Stammzertifikate von CAcert in den Zertifikatsspeicher von Palemoon, Basilisk oder Seamonkey installieren. Die kürzeste Option ist es, direkt zu http://www.cacert.org/index.php?id=3 (NICHT https!) mit Palemoon, Basilisk oder Seamonkey zu gehen. Wählen Sie zunächst einen PKI-Schlüssel der Klasse 1, PEM-Format, und markieren Sie Vertrauen in allen 3 Kontrollkästchen, dann wählen Sie einen PKI-Schlüssel der Klasse 3, PEM-Format, es ist kein Vertrauen erforderlich (wird vererbt) - und Sie haben der Zertifizierungsstelle CAcert Vertrauen geschenkt: Ihre weitere Kommunikation mit den CAcert-Sites erfolgt im https-Protokoll.

Wenn Sie sich mit Ihrem bestehenden Zertifikat anmelden wollen, müssen Sie es auch aus der .p12- oder .pfx-Datei im Certificate Manager importieren - wenn Sie es nicht haben, müssen Sie sich mit Ihrem Benutzernamen und Passwort anmelden. Nach dem Einloggen können Sie mit dem Palemoon- oder Seamonkey-Browser eine neue Zertifikatsanforderung generieren und beantragen.

Weitere Hilfe

Die Alternativen mit CSR sind im Wiki beschrieben, Abschnitt „Create Certificates“ https://wiki.cacert.org/TutorialsHowto

Den Hintergrund kann man in den CAcert Bugs vertiefen http://bugs.cacert.org/view.php?id=1417

HowTo/ClientCertCreate4/DE (last edited 2020-08-30 20:46:50 by EtienneRuedin)