Mobile + App Zertifikate Cert für das eigene Intranet » Historie » Version 2
[E] Rocco Kreutz, 06.03.2023 16:03
| 1 | 2 | [E] Rocco Kreutz | h1. Zertifikate für das eigene Intranet (Freda-Service) |
|---|---|---|---|
| 2 | 1 | [E] Rocco Kreutz | |
| 3 | Um im eigenen Intranet Zertifikate verwenden zu können (z.B. HTTPS Verbindungen im Browser, um zu vermeiden, dass Passwörter OHNE Verschlüsselung durch das eigene Intranet gesendet werden), kann man: |
||
| 4 | * bei offiziellen VA Root Anbieter Zertifikat beantragen (unkompliziert aber teuer) |
||
| 5 | * mittels LetsEncrypt 'selbsttätig Zertifikate erstellen' (kostenlos, aber mit hohem Aufwand bzw. technischem Know-How und technischen Voraussetzungen verbunden) |
||
| 6 | * selbstsignierte (erstellte) Zertifikate verwenden (kostenlos, umkompliziert, keine technischen Voraussetzungen - man kann dabei jedoch sehr leicht die Sicherheit des eigenen Netzes kompromitiieren) |
||
| 7 | |||
| 8 | Mit einem korekt erstelltem, selbstsigniertem CA (Root) Zertifikat (korrekt abgesichert, mit Verschlüsselung, entsprechender Passworthygiene und Zugriffsrechten), lassen sich für alle möglichen Anwendungsfälle im eigenen Intranet Zertifikate erstellen und verwalten. |
||
| 9 | Mittels "KeyStore Explorer":https://keystore-explorer.org/index.html, kann man dies sicher und einfach erledigen. |
||
| 10 | |||
| 11 | * KeyStore Explorer installieren |
||
| 12 | * Neuen KeyStrore erstellen {{collapse(Bild) |
||
| 13 | !clipboard-202303061537-5ap9c.png! |
||
| 14 | }} |
||
| 15 | * PKCS #12 auswählen |
||
| 16 | * Speichern |
||
| 17 | ** Legen Sie ein Passwort fest, sofern Sie wünschen, das nur berechtigte grundsätzlich Zugriff haben |
||
| 18 | ** Jeder einzelene Eintrag (Zertifikat) im KeyStore kann (und sollte !!!) ein eigenes Zugriffs-Passwort besitzen |
||
| 19 | ** Dieses Zugriffs-Passwort bezieht sich NUR auf den Private-Key eines Eintrages |
||
| 20 | ** Sollte also der KeyStore selber KEIN Passwort gesetzt haben, aber dafür jeder Eintrag im KeyStore ein Passwort gesetzt haben |
||
| 21 | *** Jeder kann den KeyStore öffnen und den Public Key oder das Zertifikat selber exportieren |
||
| 22 | *** Die sicherheitsrelevanten Private Keys benötigen jedoch das Zugriffs-Passwort eines Eintrages !!! |
||
| 23 | * Recommendation: |
||
| 24 | ** allgemeines 'ReadOnly' Passwort für den KeyStore setzen |
||
| 25 | ** ROOT/CA Einträge mittels sicherem Passwort im KeyStore schützen (im Passwort-Safe der Firma hinterlegen) |
||
| 26 | ** Alle signierten/erstellten Zertifikate basierend auf den Root/CA's können dann ohne extra Passwort im KeyStore erstellt werden |
||
| 27 | 2 | [E] Rocco Kreutz | * Root-CA erstellen |
| 28 | * neues (mit dem Root-CA) signiertes Zertifikat erstellen |
||
| 29 | * Zertifikates-Dateien für den Freda-Service exportieren |
||
| 30 | ** chain.cer, beinhaltet in diesem Falle nur das Root-CA Zertifikat, da wir keine Zertifikats-Kette erstellt haben |
||
| 31 | ** cert.pem, Zertifikat für den Freda-Service |
||
| 32 | ** cert.key, Private Key des Zertifikates (cert.pem) |
||
| 33 | |||
| 34 | |||
| 35 | h2. Step By Step |
||
| 36 | |||
| 37 | * KeyStore (Datei) öffnen, hier heißt dieser "demo-keystore.ks" |
||
| 38 | * Tools -> Generate Key Pair |
||
| 39 | * RSA KeySitze: 4096 auswählen/einstellen und OK drücken |
||
| 40 | * |
||
| 41 | !clipboard-202303061603-zvxbg.png! |