Wurzel-Zertifikate importieren
Wurzelzertifikat der DFN-PKI Global importieren
In der Regel sollte es nicht nötig sein das Wurzelzertifikat der Deutschen Telekom in neueren Web-Browsern zu importieren. In einigen älteren Anwendungsprogrammen (insbesondere ältere Versionen von Firefox, SeaMonkey oder Thunderbird) kann es erforderlich sein, dass Sie das Wurzelzertifikats Deutsche Telekom Root CA 2 manuell importieren, damit Zertifikate der TUHH CA als gültig erkannt werden.Weitere Hinweise zum Importieren in Firefox und Thunderbird finden Sie unten.
Importieren: Deutsche Telekom Root CA 2
(Wurzelzertifikat der DFN-PKI Global)
SHA1 Prüfsumme: 85:A4:08:C0:9C:19:3E:5D:51:58:7D:CD:D6:13:30:FD:8C:DE:37:BF
Weitere Informationen zu dem Wurzelzertifikat Deutsche Telekom Root CA 2
auf den Seiten der DFN-PKI
Abbildung 1:Zertifikatskette nach der Global Policy der DFN-PCA
Zum Vergrößern/Verkleinern bitte die Bilder anklicken
Zum Vergrößern/Verkleinern bitte die Bilder anklicken
Weitere Informationen zum CA Zertifikat DFN-Verein PCA Global - G01 finden Sie auf den Webseiten der DFN PCA.
Die Zertifikate der TUHH CA
Wie man Abbildung 1 entnehmen kann, ist das Zertifikat der TUHH CA in der Zertifikatskette ein Bindeglied zwischen dem Wurzelzertifikat DFN-Verein PCA Global - G01 und dem Zertifikat des Webservers. Um die Zertifikatskette überprüfen zu können, müssen die Anwendungsprogramme also auch das Zertifikat der TUHH CA kennen. In der Regel sollten alle Server aber so konfiguriert sein, dass bei jeder Anfrage die gesamte Zertifikatskette (also auch das Zertifikat der TUHH CA) ausgeliefert wird.
Wenn ein SSL-Server richtig konfiguriert ist, sollte es nie nötig sein, das
Zertifikat der TUHH CA importieren zu müssen um Zertifikatswarnungen zu vermeiden.
Zur Kontrolle und für Server-Administratoren (die das Zertifikat zur Konfiguration ihres SSL-Servers benötigen) finden Sie hier die TUHH CA Zertifikate :
- für ältere Zertifikate: TUHH CA in DFN-PKI Classic - G01 DER und PEM
(SHA1 Prüfsumme: 13:1D:E5:6B:12:A8:06:10:7E:B5:91:2A:04:70:06:9F:88:FF:C0:B8) - für neuere Zertifikate: TUHH CA in DFN-PKI Global - G01 DER und PEM
(SHA1 Prüfsumme: 63:0B:86:1F:86:6A:8B:4A:1A:D9:B2:83:67:32:48:C7:0C:D1:DC:D1)
Weitere Informationen zu den Zertifikate der TUHH CA auf den Seiten der DFN-PKI
Warum müssen beim Importieren die Prüfsummen verglichen werden?
Wenn Sie ein Wurzelzertifikat im Webbrowser importieren, bedeutet das für den Webbrowser, dass Sie dem Wurzelzertifikat und allen darunter ausgestellten Zertifikaten vertrauen. Jedes Zertifikat, dass sich über eine Zertifikatskette auf ein installierteres (vorintegriert oder manuell importiertes) Wurzelzertifikat zurückführen lässt, wird dann als vertrauenswürdig eingestuft.
Sie müssen beim manuellen Importieren von Wurzelzertifikate sorgfältig vorgehen, damit
Sie kein falsches Zertifikat importieren. Es ist denkbar, dass ein böswilliger
Angreifer versucht, Sie zum installieren eines gefälschten Wurzelzertifikats zu verleiten.
Jedes Wurzelzertifikat wird durch eine kryptographische Prüfsumme auf Basis von MD5 oder SHA1 eindeutig identifiziert. Im Browser werden diese besonderen Prüfsummen auch Fingerabdruck, Fingerprint oder Thumbprint genannt. Durch unabhängigen Vergleich dieser Prüfsummen können Sie verifizieren, dass Sie das echte Wurzelzertifikat importieren. Das genaue Vorgehen wird weiter unten für Firefox und den Internet Explorer 6 beschrieben.
Eine Liste aller Wurzelzertifikate und der Prüfsummen der DFN-PKI finden Sie u. a.
- auf den Webseiten der DFN-PKI
- als als PDF-Dokument
- als Aushang im Rechenzentrum der TUHH (Gebäude SBS95e)
- auf dieser Webseite
Wurzelzertifikate in Firefox importieren
Zum Importieren klicken Sie auf den Link eines Wurzelzertifikats, z.B. oben auf das Wurzelzertifikat Deutsche Tleekom Root CA 2 (Wurzelzertifikat der DFN-PKI Global) und folgen Sie dem Beispiel.Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:
- Wurzelzertifikat anklicken
- Details des Wurzelzertifikats anzeigen
- SHA1 Prüfsummen vergleichen
- Wenn der Vergleich erfolgreich war, dem Zertifikat für alle Verwendungszwecke vertrauen und abschließen
- Kontrolle: Öffnen Sie in den Optionen von Firefox das Register Erweitert/Verschlüsselung/Zertifikate anzeigen
- Kontrolle: Bei den Zertifizierungsstellen sollte nun das importierte Wurzelzertifikat auftauchen
Wurzelzertifikate in Thunderbird importieren
Thunderbird legt Zertifikate an anderer Stelle als Firefox im System ab. Deshalb müssen die Wurzelzertifikate noch einmal extra importiert werden. Das ist etwas umständlicher als bei Firefox, da man das Zertifikat vorübergehend auf der Festplatte speichern muß.Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:
- Wurzelzertifikat mit der rechten Maustaste anklicken und Ziel speichern unter… bzw. Save Link as…
- Wurzelzertifikat vorübergehend auf der Festplatte speichern als
deutsche-telekom-root-ca-2.crt
- Öffnen Sie in Thunderbird unter Tools
Options das
Register Privacy Security und klicken Sie auf View Certificates
- Im Certificate Manager wechseln Sie auf das Register Authorities. Dort finden sich alle vorinstallierten ("Builtin Object Token")
und manuell installierten ("Software Security Device") Wurzelzertifikate. Klicken Sie dort auf Import
- Öffnen Sie in dem nun folgenden Dialog-Fenster das zuvor auf Festplatte gespeicherte Wurzelzertifikat
- Klicken Sie auf View
- Vergleichen Sie die SHA1 Prüfsumme mit dem erwarteten Wert
- Wenn der Vergleich erfolgreich war, dem Zertifikat für alle Verwendungszwecke vertrauen und abschließen
- Kontrolle: Unter Authorities sollte sich das gerade importierte Wurzelzertifikat wieder finden
Windows Vista: Wurzelzertifikate im Internet Explorer 7 oder Outlook importieren
Internet Explorer und Outlook verwenden denselben Speicherbereich für Zertifikate. Deshalb genügt es die Wurzelzertifikate im Internet Explorer zu importieren.Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:
- Wurzelzertifikat mit der linke Maustaste anklicken
- Es öffnet sich ein Fenster Dateidownload - Sicherheitswarnung. Klicken Sie auf Öffnen
- Der nächste Warnhinweis kommt vom Internet Explorer Internet Explorer - Sicherheit und muss mit Zulassen bestätigt werden.
- Es öffnet sich daraufhin ein Fenster mit den Details zu dem neuen Wurzelzertifikat. Klicken Sie auf das Register Details
- Vergleichen Sie die SHA1 Prüfsumme (Thumbprint) mit dem erwarteten Wert
- Wenn die Prüfsumme stimmt, dann wechseln Sie wieder auf das Register Allgemein und klicken Sie auf Zertifikat installieren…
- Nun öffnet sich der Zertifikatsimport-Assistent. Klicken Sie auf Weiter
- Der Speicherort für das neue Wurzelzertifikat soll ausgewählt werden. Unter Windows Vista ist die automatische Voreinstellung des Assistenten falsch.
Sie müssen den Speicherort manuell wählen. Wählen Sie dazu Alle Zertifikate in folgendem Speicher speichern aus und klicken Sie auf Durchsuchen.
- Es öffnet sich das Fenster Zertifikatsspeicher auswählen. In diesem Fenster wählen Sie die Vertrauenswürdigen Stammzertifizierungsstellen aus:
- Kontrollieren Sie noch einmal das Ergebnis in Ihrer Auswahl. Das ursprüngliche Fenster sollte wie hier aussehen. Klicken Sie auf Weiter.
- Der Import ist fast abgeschlossen und es erscheint das Fenster Fertigstellen des Assistenten. Klicken Sie auf Fertig stellen
- Eine letzte Sicherheitswarnung erscheint, denn Sie legen durch den Import fest, dass Sie allen von der
Zertifizierungsinstanz ausgestellten Zertifikaten vertrauen wollen. Sie können hier auch noch einmal die SHA1 Prüfsumme (Fingerabdruck)
vergleichen. Klicken Sie dann auf Ja
- Es sollte nun der Hinweis erscheinen, dass der Import erfolgreich war
- Kontrolle: Öffnen Sie nun im Menü unter Extras die Internetoptionen
- Kontrolle: Wechseln Sie dann auf das Register Inhalte und klicken Sie auf Zertifikate… - Herausgeber
- Kontrolle: Wechseln Sie zum Register Vertrauenswürdige Stammzertifizierungsstellen
- Kontrolle: Unter Vertrauenswürdige Stammzertifizierungsstellen sollte sich nun das gerade importiert Wurzelzertifikat wieder finden
Windows XP: Wurzelzertifikate im Internet Explorer 6/7 oder Outlook importieren
Internet Explorer und Outlook verwenden denselben Speicherbereich für Zertifikate. Deshalb genügt es die Wurzelzertifikate im Internet Explorer zu importieren.Die Screenshots können sie durch Klicken auf die Icons vergrößern/verkleinern:
- Wurzelzertifikat mit der linke Maustaste anklicken
- Es öffnet sich ein Fenster Dateidownload - Sicherheitswarnung. Klicken Sie auf Öffnen
- Es öffnet sich ein Fenster mit den Details zu dem neuen Wurzelzertifikat. Klicken Sie auf das Register Details
- Vergleichen Sie die SHA1 Prüfsumme (Thumbprint) mit dem erwarteten Wert
- Wenn der Vergleich erfolgreich ist, dann wechseln Sie wieder auf das Register Allgemein und klicken Sie auf Zertifikat installieren…
- Nun öffnet sich der Zertifikatsimport Assistent. Klicken Sie auf Weiter
- Der Speicherort für das neue Wurzelzertifikat soll ausgewählt werden. Folgen Sie der Voreinstellung des Assistenten, der
den Speicherort automatisch auswählen wird. Das Wurzelzertifikat wird dann richtig bei den Vertrauenswürdigen Stammzertifizierungsstellen
also den obersten Zertifizierungsinstanzen eingepflegt
- Der Import ist fast abgeschlossen und es erscheint das Fenster Fertigstellen des Assistenten. Klicken Sie auf Fertig stellen
- Eine letzte Sicherheitswarnung erscheint, denn Sie legen durch den Import fest, dass Sie allen von der
Zertifizierungsinstanz ausgestellten Zertifikaten vertrauen wollen. Sie können hier auch noch einmal die SHA1 Prüfsumme (Fingerabdruck)
vergleichen. Klicken Sie dann auf Ja
- Es sollte nun der Hinweis erscheinen, dass der Import erfolgreich war
- Kontrolle: Öffnen Sie nun im Menü unter Extras die Internetoptionen
- Kontrolle: Wechseln Sie dann auf das Register Inhalte und klicken Sie auf Zertifikate…
- Kontrolle: Wechseln Sie im Fenster Zertifikate auf das Register Vertrauenswürdige Stammzertifizierungsstellen
- Kontrolle: Unter Vertrauenswürdige Stammzertifizierungsstellen sollte sich nun das gerade importiert Wurzelzertifikat wieder finden
