Diese Anleitung beschreibt die Installation der FAU-CA Zertifikatskette in einem Ubuntu System, so dass das System in Zukunft allen Zertifikaten, die von der FAU-CA ausgestellt wurden vertraut.
Der DFN hat eine neue CA eingeführt, daher muss zusätzlich zur alten Chain auch noch die neue Chain importiert werden, um alle von der FAU ausgegebenen Zertifikate zu unterstützen!
Vorbereitung
Bitte prüfen Sie die vorbereitenden Schritte, bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen der Anleitung erfüllt sein.
Pakete
Folgender Pakete für Ubuntu 14.04/16.04 müssen installiert werden:
bash$ sudo apt-get install openssl ssl-cert ca-certificates
Installation
Die Installation erfolgt durch Download der FAU-CA Zertifikatskette und anschließende Installation im Ubuntu System.
Ubuntu 14.04/16.04/18.04
bash$ sudo wget https://pki.pca.dfn.de/uni-erlangen-nuernberg-ca/pub/cacert/chain.txt -O /usr/local/share/ca-certificates/fauca-chain-old.crt bash$ sudo wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt -O /usr/local/share/ca-certificates/fauca-chain.crt bash$ sudo update-ca-certificates
Ubuntu 14.04/16.04/18.04 (über proxy)
bash$ sudo https_proxy=http://proxy.rrze.uni-erlangen.de wget https://pki.pca.dfn.de/uni-erlangen-nuernberg-ca/pub/cacert/chain.txt -O /usr/local/share/ca-certificates/fauca-chain-old.crt bash$ sudo https_proxy=http://proxy.rrze.uni-erlangen.de wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt -O /usr/local/share/ca-certificates/fauca-chain.crt bash$ sudo update-ca-certificates
Java Support
Java verwendet eigenen eigenen Truststore in dem vertrauenswürdige Zertifikate abgelegt werden.
Um Java Anwendungen auch von der Validität der FAU Zertifikate zu überzeugen können diese wie folgt auch dort eingebunden werden.
Ubuntu 14.04/16.04/18.04
Die folgenden Befehle importieren exemplarisch das alte und das neue FAU-CA Zertifikat in den OpenJDK 8 Truststore.
Der Pfad zum Truststore kann ggf. je nach verwendeter Java Version und Implementierung abweichen und muss ggf. angepasst werden.
Das Standard-Passwort für diesen Truststore ist tatsächlich „changeit“ und muss genauso eingegeben werden.
bash$ sudo keytool -importcert -noprompt -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts -alias fauca-chain-old -file /usr/local/share/ca-certificates/fauca-chain-old.crt bash$ sudo keytool -importcert -noprompt -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts -alias fauca-chain -file /usr/local/share/ca-certificates/fauca-chain.crt
Test
Der Test prüft ob nach Aktualisierung der Liste der vertrauenswürdigen CA-Zertifikaten auch das FAU-CA Zertifikat enthalten ist.
System
bash$ grep FAU-CA /etc/ssl/certs/ca-certificates.crt subject= /C=DE/ST=Bayern/L=Erlangen/O=Universitaet Erlangen-Nuernberg/OU=RRZE/CN=FAU-CA/emailAddress=ca@rrze.uni-erlangen.de bash$ grep "DFN-Verein Certification Authority 2" /etc/ssl/certs/ca-certificates.crt subject= /C=DE/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./OU=DFN-PKI/CN=DFN-Verein Certification Authority 2
Der Test ist erfolgreich, wenn die jeweils angegebene Zeichenkette gefunden wird.
Java
bash$ keytool -v -list -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts | grep "CN=DFN-Verein PCA Global - G01" Aussteller: CN=DFN-Verein PCA Global - G01, OU=DFN-PKI, O=DFN-Verein, C=DE
bash$ keytool -v -list -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts | grep "CN=DFN-Verein Certification Authority 2" Aussteller: CN=DFN-Verein Certification Authority 2, OU=DFN-PKI, O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., C=DE