Schwieriges XCA für eigene Zertifikate

    * Thunderbird-Version: 31.3.0
    * S/MIME oder PGP: s/mime eigene Zertifikate

    Hallo,
    obwohl ich eigentlich mich bei beim Bedienen und Verstehen von Programmen nicht nicht allzu schwer tue, hat mir das Erzeugen eigener Zertifikate mit XCA doch erhebliche Probleme bereitet und mich 2 Tage Zeit gekostet.
    Grund ist, dass es nur wenige Anleitungen für XCA gibt und man dann am Ende merkt, dass es die falsche (oder zu alt) war, weil der Zweck (des Zertifikats) ein anderes Ziel hatte.
    Ich habe nach langem Suchen nur eine Anleitung auf Englisch gefunden, die mehrere Ziele beschrieb und zwar sehr exakt. Die letzte Beschreibung war dann die passende für mich.
    Die Anleitung fand ich als PDF und zwar von Lawrence Hughes hier:
    http://www.sixscape.com/joomla/sixscap…icates-with-xca
    Den unteren Link herunterladen.
    Vorteil der Anleitung: alles bebildert (mit der aktuellen XCA-Version kompatibel) und sehr gut erklärt. Leider fehlt ein Index.
    Trotz der genauen Anleitung kann man doch einige schwerwiegende Fehler machen (ich denke nur an die sehr langen Antworten zum Thema in verschiedenen Threads von Peter_Lehmann ) und XCA ist bestimmt für Anfänger nicht allzu geeignet.
    Dass dann das ganze in Outlook und Windows Live Mail wiederum ganz anders gehandhabt wird, ist eine weitere Schwierigkeit.
    Und dass ein Doppelklick auf eine *.p12 oder *.cer eine Windows-Konsole öffnet und man das entspr. Snap-in noch hinzufügen muss, habe ich selbst herausgefunden.
    Danach ist dann das Handling mit beiden MS-Programm kein großes Problem mehr.

    Ein weiteres Problem sind die zu machenden Tests, die ich mangels eines zweiten Computers nur machen konnte, weil ich verschiedene Mailprogramme bzw. Profile benutzt habe.
    Inwieweit sich dabei die IMAP-Konten beeinflussen, habe ich noch nicht herausbekommen.
    Große Probleme hatte ich mit den digitalen Signaturen. Ich weiß nicht, wie viele Male das Icon beim Mailempfang nicht ein versiegelter Brief war (rotes Siegel) sondern ein Brief mit Fragezeichen. Zeichen für ein falsches Zertifikat.
    Wie susiTux schon weissagte, einfach ist die Handhabung von XCA nicht und eine ziemliche Fummelei und die hat mich wirklich an den Rand des Aufgebens gebracht. Meine Frau hat ständig die Tür geschlossen, weil ich andauernd fluchte.
    Es gibt vom gleichen o.g. Autor auch eine spezielle Anleitung für Thunderbird:
    Link:
    "Secure Email with Thunderbird" auf dieser Seite :
    http://www.sixscape.com/joomla/sixscape/index.php/projects
    Die braucht man aber nur, wenn man die Anleitungen bei WIKI nicht gelesen hat. Allerdings enthält mein Link sehr viele Illustrationen.

    Gruß

    Edited 5 times, last by mrb (January 2, 2015 at 11:31 AM).

    Hallo mrb,

    Quote from mrb

    ... XCA ist bestimmt für Anfänger nicht allzu geeignet.

    Nein, das ist es wirklich nicht. Für die "Kunden", die am Ende lediglich die Zertifikate nutzen, wird es dadurch zwar deutlich einfacher, aber für den Herausgeber, der diese Zertifikate mit XCA erzeugt, ist es alles andere als einfach.

    Quote from mrb

    Meine Frau hat ständig die Tür geschlossen, weil ich andauernd fluchte.

    Ich fluche in solchen Situation ja immer mit. Das geht im Bairischen so gut. Natürlich nur, bis ich merke, dass mein lieber Gatte nicht zum Spaßen aufgelegt ist ;-).
    Ein dickes Lob, dass Du Dich durchgebissen hast! Ich hoffe sehr, dass Du nun auch den Lohn ernten darfst und ein paar Mitstreiter findest. Dann hätten sogar wir alle etwas davon.

    Ich habe gerade die Anleitung aufgerufen. Sie scheint mit sehr ausführlich und gut gemacht zu sein. Der Umfang von 90 Seiten mag zunächst abschreckend wirken, aber die muss man sicher nicht alle lesen, vor allem, wenn man "nur" S/MIME Zertifikate erzeugen will.

    Quote from mrb

    Dass dann das ganze in Outlook und Windows Live Mail wiederum ganz anders gehandhabt wird, ist eine weitere Schwierigkeit.

    Ich nehme an, Outlook hat keinen eigenen Zertifikatsspeicher wir der TB sondern benutzt den von Windows? Ist es das, was es mit Outlook komplizierter gemacht hat?

    Quote from mrb

    Ein weiteres Problem sind die zu machenden Tests, die ich mangels eines zweiten Computers nur machen konnte, weil ich verschiedene Mailprogramme bzw. Profile benutzt habe.

    Falls Du öfter Tests durchführst, für die Du gern einen zweiten Computer hättest, empfehle ich Dir eine Virtuelle Maschine. Ich habe u.a. ein fertig gepatchtes xp mit den wichtigsten Programmen (FF, TB, OpenOffice ,...) in einer VM und diesen Zustands als Wiederherstellungspunkt gespeichert. Das ist eine tolle Testumgebung. Ein paar Mausklicks genügen und alles ist wieder gut.

    Viele Grüße

    Susanne

    Hallo Susanne.

    Quote

    Ich nehme an, Outlook hat keinen eigenen Zertifikatsspeicher wir der TB sondern benutzt den von Windows? Ist es das, was es mit Outlook komplizierter gemacht hat?


    Ja genau. Ich war bei Outlook auf dem falschen Dampfer, bis ich aus Neugier mal auf eine *.p12 bzw. *.cer Datei klickte und sich dort in einer Art Konsole die Zertifikate befanden. Da wurde mir sofort klar, dass Outlook genau diese von Windows nimmt. Wie es Windows Live Mail genau macht habe ich noch nicht herausgefunden, aber es ähnelt im Handling mehr Thunderbird.

    Quote

    Falls Du öfter Tests durchführst, für die Du gern einen zweiten Computer hättest, empfehle ich Dir eine Virtuelle Maschine.


    Die läuft auf Windows oder auch auf Linux? Und wie genau heißt das Programm?

    Gruß

    Hallo mrb,

    Quote from mrb

    Die läuft auf Windows oder auch auf Linux? Und wie genau heißt das Programm?

    Die bekanntesten Produkte sind wohl die vmware workstation und die Virtual Box von Oracle, auf dem Mac Parallels Desktop.
    Ich benutze die Virtual Box. Das hat in meinem Fall historische Gründe. Die Virtual Box stammt ursprünglich von der deutschen Firma InnoTek, die zunächst von Sun Microsystems gekauft wurde, welches letztendlich von Oracle übernommen wurde.
    Beide bieten für Privatanwender kostenlose Versionen für Windows und Linux an. Der Funktionsumfang dieser Versionen ist meines Wissens gleich. Du kannst darin wiederum Windows oder Linux installieren und natürlich viele virtuelle Maschinen parallel haben.
    Auf Deiner Platte ist eine virtuelle Maschine nichts anderes als eine große Datei plus ein paar kleine Konfig-Dateien (bei der Virtual Box, ich denke bei vmware wird es ähnlich sein).
    Solange Du ausreichend Speicherplatz hast, kannst zu einer virtuellen Maschine beliebig viele Sicherungspunkte setzen. Die kannst Du wiederum parallel betreiben oder auch löschen und innerhalb weniger Sekunden zu einem bestimmten Stand zurückkehren.

    Das Christkind war so lieb und hat mir zu Weihnachten eine SSD unter den Christbaum gelegt. Ich habe die Gelegenheit genutzt und habe die aktuelle Ubuntu LTS Version installiert (ein Kopieren per dd von HD auf SSD ist wegen des dann evtl. nicht korrekten Alignments keine gute Idee. Eine echte Installation ist in diesem Fall besser.).
    Die virtuelle Maschine mit dem xp habe ich danach einfach per Copy&Paste übernommen. Das hat schon was, eine komplette Installation einfach so mit einem Dateimanager zu kopieren.

    Viele Grüße

    Susanne

    Hallo,

    ich versuche mich auch gerade mit xca, allerdings im Moment für SSL/HTTPS und ziemlich erfolglos.
    Die Links führen alle zu "Page not found - Sixscape"
    Z.B:
    http://www.sixscape.com/joomla/sixscap…0with%20XCA.pdf
    http://www.sixscape.com/joomla/sixscap…icates-with-xca
    Hast du den Dateinamen des PDF? Oder noch andere Links? Oder kannst du mir das PDF via PN schicken?
    Vielen Dank.

    PS: mit "Step by Step guides" von http://xca.sourceforge.net/xca-14.html kam ich noch nicht richtig zurecht.

    Hallo odessa,

    Du könntest ja die Zeit bis dahin nutzen, diese nicht gerade ausführliche Problembeschreibung:

    Quote from odessa

    ... allerdings im Moment für SSL/HTTPS und ziemlich erfolglos.

    etwas zu erweitern.

    Falls es dein Ziel sein sollte, ein Zertifikat für einen Webserver erstellen, dann wird Dir eine eigene CA eh nicht weiterhelfen, weil z.B. der Firefox diese CA nicht so ohne weiteres anerkennen wird.
    Dann schau besser gleich hier: http://www.heise.de/newsticker/mel…le-2679600.html

    Gruß

    Susanne

    P.S.: @mrb
    Noch weitere zwei Wochen? Du hast es gut ... . Viel Spaß weiterhin! :-)