Zertifikate einer eigenen CA in Linux integrieren

Zweck

Bei der Nutzung von Zertifikaten einer eigenen CA kommt es je nach genutzter Applikation zu den bekannten Fehlermeldungen (nicht vertrauenswürdig...) bzw. die gewünschte Verbindung wird gar nicht aufgebaut. Abhilfe schafft das Bekanntgeben jedes Zertifikates oder des Root-Zertifikates in der Applikation ("Vertrauen"). Das müßte aber jeder einzelne Benutzer in jeder einzelnen Applikation tun. Einfacher wird es mit der im Folgenden beschriebenen systemweiten Installation.

Bei der Nutzung der zum Zeitpunkt der Erstellung dieses How-Tos aktuellen KDE-Version (4.2.2) ist dies sogar die einzig sinnvolle Variante, da hier die integrierte Zertifikatsverwaltung immer noch fehlerhaft ist.

Voraussetzungen

• Root-Zertifikat der eigenen CA im PEM-Format (andere Formate nicht getestet, können aber bei Bedarf umgewandelt werden)
• Gentoo Linux (sollte analog unter Debian funktionieren, da Gentoo die beschriebenen Mechanismen von Debian übernommen hat). Bei anderen Distributionen sollte es ähnlich ablaufen, wenn nicht sogar ein funktionierender Mechanismus eingebaut ist.

Step by step

1. Kopieren des Root-Zertifikates nach /usr/local/share/ca-certificates (muß auf .crt enden, nicht .pem o.ä.!)
2. Ausführen von:
   

   # /usr/sbin/update-ca-certificates
   

3. Bekanntgeben der Zertifikate in KDE-4:
   

   # cd /usr/share/apps/kssl
   # mv ca-bundle.crt ca-bundle.crt.orig
   # ln -s /etc/ssl/certs/ca-certificates.crt ca-bundle.crt
   

4. Schritt 3 muß evtl. nach einem Update von KDE wiederholt werden.
   Alternative: Bekanntgeben der System-Zertifikate für jeden einzelnen Nutzer (als jeweiliger User ausführen):
   

   # mkdir -p ~/.kde4/share/apps/kssl
   # ln -s /etc/ssl/certs/ca-certificates.crt ~/.kde4/share/apps/kssl/ca-bundle.crt
   

5. Dieser Schritt muß also einmal für jeden Benutzer durchgeführt werden.

Weitere Informationen

# man update-ca-certificates