FAU-CA Zertifikat einbinden

Diese Anleitung beschreibt die Installation der FAU-CA Zertifkatskette in einem Ubuntu System, so dass das System in Zukunft allen Zertifikaten, die von der FAU-CA ausgestellt wurden vertraut.

Der DFN hat eine neue CA eingeführt, daher muss zusätzlich zur alten Chain auch noch die neue Chain importiert werden, um alle von der FAU ausgegebenen Zertifikate zu unterstützen!

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Vorraussetzungen für ein sinnvolles Umsetzen Anleitung der erfüllt sein.

Pakete

Folgender Pakete für Ubuntu 14.04/16.04 müssen installiert werden:

bash$ sudo apt-get install openssl ssl-cert ca-certificates

Installation

Die Installation erfolgt durch Download der FAU-CA Zertifikatskette und anschließende Installation im Ubuntu System.

Ubuntu 14.04/16.04/18.04

bash$ sudo wget https://pki.pca.dfn.de/uni-erlangen-nuernberg-ca/pub/cacert/chain.txt -O /usr/local/share/ca-certificates/fauca-chain-old.crt

bash$ sudo wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt -O /usr/local/share/ca-certificates/fauca-chain.crt

bash$ sudo update-ca-certificates

Ubuntu 14.04/16.04/18.04 (über proxy)

bash$ sudo https_proxy=http://proxy.rrze.uni-erlangen.de wget https://pki.pca.dfn.de/uni-erlangen-nuernberg-ca/pub/cacert/chain.txt -O /usr/local/share/ca-certificates/fauca-chain-old.crt

bash$ sudo https_proxy=http://proxy.rrze.uni-erlangen.de wget https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt -O /usr/local/share/ca-certificates/fauca-chain.crt 

bash$ sudo update-ca-certificates

Java Support

Java verwendet eigenen eigenen Truststore in dem vertrauenswürdige Zertifikate abgelegt werden.
Um Java Anwendungen auch von der Validität der FAU Zertifikate zu überzeugen können diese wie folgt auch dort eingebunden werden.

Ubuntu 14.04/16.04/18.04

Die folgenden Befehle importieren exemplarisch das alte und das neue FAU-CA Zertifikat in den OpenJDK 8 Truststore.
Der Pfad zum Truststore kann ggf. je nach verwendeter Java Version und Implementierung abweichen und muss ggf. angepasst werden.

Das Standard-Passwort für diesen Truststore ist tatsächlich „changeit“ und muss genauso eingegeben werden.

bash$ sudo keytool -importcert -noprompt -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts -alias fauca-chain-old -file /usr/local/share/ca-certificates/fauca-chain-old.crt

bash$ sudo keytool -importcert -noprompt -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts -alias fauca-chain -file /usr/local/share/ca-certificates/fauca-chain.crt

Test

Der Test prüft ob nach Aktualisierung der Liste der vertrauenswürdigen CA-Zertifikaten auch das FAU-CA Zertifikat enthalten ist.

System

bash$ grep FAU-CA /etc/ssl/certs/ca-certificates.crt
subject= /C=DE/ST=Bayern/L=Erlangen/O=Universitaet Erlangen-Nuernberg/OU=RRZE/CN=FAU-CA/emailAddress=ca@rrze.uni-erlangen.de

bash$ grep "DFN-Verein Certification Authority 2" /etc/ssl/certs/ca-certificates.crt
subject= /C=DE/O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V./OU=DFN-PKI/CN=DFN-Verein Certification Authority 2

Der Test ist erfolgreich, wenn die jeweils angegebene Zeichenkette gefunden wird.

Java

bash$ keytool -v -list -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts | grep "CN=DFN-Verein PCA Global - G01"

Aussteller: CN=DFN-Verein PCA Global - G01, OU=DFN-PKI, O=DFN-Verein, C=DE
bash$ keytool -v -list -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts | grep "CN=DFN-Verein Certification Authority 2"

Aussteller: CN=DFN-Verein Certification Authority 2, OU=DFN-PKI, O=Verein zur Foerderung eines Deutschen Forschungsnetzes e. V., C=DE