Diese Anleitung beschreibt die Installation der CA Zertifikatskette für die FAU in einem Ubuntu System, so dass das System in Zukunft allen Zertifikaten, die von der CA der FAU ausgestellt wurden vertraut.
Vorbereitung
Bitte prüfen Sie die vorbereitenden Schritte, bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen der Anleitung erfüllt sein.
Pakete
Folgender Pakete für Ubuntu ab 14.04 müssen installiert werden:
bash$ sudo apt-get install openssl ssl-cert ca-certificates
Installation
Die Installation erfolgt durch Download der FAU-CA Zertifikatskette und anschließende Installation im Ubuntu System.
Ubuntu ab 14.04
bash$ sudo wget https://linux.rrze.fau.de/pub/cacert/SECTIGO_chain.pem -O /usr/local/share/ca-certificates/SECTIGO_chain.crt bash$ sudo update-ca-certificates
Java Support
Java verwendet eigenen eigenen Truststore in dem vertrauenswürdige Zertifikate abgelegt werden.
Um Java Anwendungen auch von der Validität der FAU Zertifikate zu überzeugen können diese wie folgt auch dort eingebunden werden.
Ubuntu ab 14.04
Die folgenden Befehle importieren exemplarisch das alte und das neue CA Zertifikat in den OpenJDK 8 Truststore.
Der Pfad zum Truststore kann ggf. je nach verwendeter Java Version und Implementierung abweichen und muss ggf. angepasst werden.
Das Standard-Passwort für diesen Truststore ist tatsächlich „changeit“ und muss genauso eingegeben werden.
bash$ sudo keytool -importcert -noprompt -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts -alias SECTIGO-chain -file /usr/local/share/ca-certificates/SECTIGO_chain.crt
Test
Der Test prüft ob nach Aktualisierung der Liste der vertrauenswürdigen CA-Zertifikaten auch das CA Zertifikat der FAU enthalten ist.
System
bash$ grep "USERTrust RSA Certification Authority" /etc/ssl/certs/ca-certificates.crt subject=C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
Der Test ist erfolgreich, wenn die jeweils angegebene Zeichenkette gefunden wird.
Java
bash$ keytool -v -list -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts | grep "USERTrust RSA Certification Authority" Issuer: CN=USERTrust RSA Certification Authority, O=The USERTRUST Network, L=Jersey City, ST=New Jersey, C=US