FAU-CA Zertifikat einbinden

Diese Anleitung beschreibt die Installation der CA Zertifikatskette für die FAU in einem Ubuntu System, so dass das System in Zukunft allen Zertifikaten, die von der CA der FAU ausgestellt wurden vertraut.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte, bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen der Anleitung erfüllt sein.

Pakete

Installation

Die Installation erfolgt durch Download der FAU-CA Zertifikatskette und anschließende Installation im Ubuntu System.

Ubuntu 20.04 und höher

bash$ sudo wget https://linux.rrze.fau.de/pub/cacert/SECTIGO_chain.pem -O /usr/local/share/ca-certificates/SECTIGO_chain.crt

bash$ sudo update-ca-certificates

Java Support

Java verwendet eigenen eigenen Truststore in dem vertrauenswürdige Zertifikate abgelegt werden.
Um Java Anwendungen auch von der Validität der FAU Zertifikate zu überzeugen können diese wie folgt auch dort eingebunden werden.

Ubuntu 20.04 und höher

Die folgenden Befehle importieren exemplarisch das alte und das neue CA Zertifikat in den OpenJDK 8 Truststore.
Der Pfad zum Truststore kann ggf. je nach verwendeter Java Version und Implementierung abweichen und muss ggf. angepasst werden.

Das Standard-Passwort für diesen Truststore ist tatsächlich „changeit“ und muss genauso eingegeben werden.

bash$ sudo keytool -importcert -noprompt -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts -alias SECTIGO-chain -file /usr/local/share/ca-certificates/SECTIGO_chain.crt

Test

Der Test prüft ob nach Aktualisierung der Liste der vertrauenswürdigen CA-Zertifikaten auch das CA Zertifikat der FAU enthalten ist.

System

bash$ grep "USERTrust RSA Certification Authority" /etc/ssl/certs/ca-certificates.crt
subject=C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority

Der Test ist erfolgreich, wenn die jeweils angegebene Zeichenkette gefunden wird.

Java

bash$ keytool -v -list -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts | grep "USERTrust RSA Certification Authority"

Issuer: CN=USERTrust RSA Certification Authority, O=The USERTRUST Network, L=Jersey City, ST=New Jersey, C=US