nicht angemeldet
Zertifikat
Hallo!
Weiß vielleicht jemand wie man ein Zertifikat für eine Datei erstellt? Was brauchst man alles dazu?
-
Hallo Thomas,
also, wenn Du nicht willst, dass Du "Nimm einen Zettel, schreib drauf, was Du der Datei ausstellen willst, und hängst Dir an die Wand" als Antwort kriegst, müsstest Du folgendes veraten:
a) Was für ein Zertifikat?
b) Was für eine Datei?
c) Zu welchem Zweck?Grüße,
Utz--
Mitglied im Ring Deutscher Mäkler-
Also ein Sicherheitszertifikat. (Wenn du im IE auf Eigenschaften klickst, findest du ein Symbol mit Zertifikat)
Ich bräuchte so eins für einen Formular-Versand mit persönlichen Adressen etc., dass diese beim Senden geschützt sind. Ich hab bei SELFHTML geschaut, jedoch nichts dazu gefunden. (In der Suchmaschine)-
hi,
Also ein Sicherheitszertifikat. (Wenn du im IE auf Eigenschaften klickst, findest du ein Symbol mit Zertifikat)
Ich bräuchte so eins für einen Formular-Versand mit persönlichen Adressen etc., dass diese beim Senden geschützt sind.also redest du von SSL bzw. einer gesicherten verbindung über https?
das sind stichworte, die google sicher kennt.
gruß,
wahsaga--
Rest in peace, Dimebag!
#
"Look, that's why there's rules, understand? So that you _think_ before you break 'em." -
Hallo Thomas,
Also ein Sicherheitszertifikat.
Das Stichwort dazu heißt SSL. Das Zertifikat muss auf dem Server installiert werden, d.h. Du musst in der Lage sein, das auf Deinem Server installieren zu dürfen. Wenn ja, gibt's versch. Möglichkeiten:
-
eine AFAIK kostenlose Variante ist OpenSSL
-
darüberhinaus gibt es etliche kosenpflichtige, dafür aber i.d.R. einfacher zu installierende SSL-Zertifikate. Der Marktführer dürfte Verisign sein, es gibt aber Dutzende andere, Google spuckt dazu etliches aus.
Grüße,
Utz--
Mitglied im Ring Deutscher Mäkler-
Hallo Utz!
CAs wie Verisign signieren SSL-Zertifikate, die von den meisten Browsern per default akzeptiert werden. Wenn Du Dein Zertifikat selber signierst, hast Du zwar trotzdem den Vorteil der verschlüsselten Übertragung, es kann aber nicht mehr sichergestellt werden, dass der Gegenüber der ist, für den er sich ausgibt. Dies führt in den Browsern zu einer Warnung, wie z.B. beim Aufruf von https://www.ccc.de/. In vielen Fällen ist das nicht weiter schlimm, aber gerade im kommerziellen Bereich braucht man meistens von einer entsprechenden CA signierte Zertifikate, unter anderem auch weil die oben genannte Warnung einen "normaler" Anwender verwirrt.
OpenSSL ist eine SSL-Implementierung die unter einer (relativ freien) Apache-ähnlichen Lizenz steht, es gibt auch eine (?) kommerzielle Variante. Ich denke, openssl ist wohl am meisten verbreitet, hat aber nichts damit zu tun dass man in den meisten Fällen trotzdem für das Signieren des Zertifikates bezahlen muss - wenn man eben die oben gezeigte Warnung vermeiden will.
Grüße
Andreas--
SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/-
Hallo Utz!
Grüße
AndreasRichtig. Wenn Du Dir selber ein Zertifikat ausstellen willst geht das für OpenSSL ganz einfach mit dem SSLBuddy der zwar ursprünglich für Indy (i love it) Entwickler produziert wurde, aber auch sonst brauchbar ist.
MfG
Thomas -
Hi,
CAs wie Verisign signieren SSL-Zertifikate, die von den meisten Browsern per default akzeptiert werden. Wenn Du Dein Zertifikat selber signierst, hast Du zwar trotzdem den Vorteil der verschlüsselten Übertragung, es kann aber nicht mehr sichergestellt werden, dass der Gegenüber der ist, für den er sich ausgibt.
die Aussage ist imho in doppelter Hinsicht falsch. Es wird sichergestellt,
dass der Rechner auf der anderen Seite der ist, für den er sich ausgibt.
Es wird nur nicht per default dem Zertifikat vertraut (Zertifikatspfad, Austeller).bernd
-
Hallo!
die Aussage ist imho in doppelter Hinsicht falsch. Es wird sichergestellt,
dass der Rechner auf der anderen Seite der ist, für den er sich ausgibt.
Es wird nur nicht per default dem Zertifikat vertraut (Zertifikatspfad, Austeller).Und wie kann man das sicherstellen wenn man nicht weiß ob man dem Zertifikat vertrauen kann? Natürlich gibt es Möglichkeiten das manuell zu prüfen, aber um mal beim Beispiel CCC zu bleiben - wie kann ich sicher sein, dass auf der anderen Seite wirklich der Server des CCC steht, und nicht ein Server des BND...? Vielleicht hat ja irgendjemand an meinen DNS-Servern oder sonst welchen Einstellungen rumgeschraubt, dass ccc.de auf einmal eine andere IP auflöst - wo sich der BND selber ein Zertifikat auf ccc.de ausgestellt hat. Von Verisign & Co. würde er so ein Zertifikat eben nicht bekommen.
Grüße
Andreas--
SELFHTML Feature Artikel: http://aktuell.de.selfhtml.org/artikel/-
Hi,
Und wie kann man das sicherstellen wenn man nicht weiß ob man dem Zertifikat vertrauen kann?
Du vertraust Verisign, weil du meinst, dass die den Antragssteller
überprüft haben und natürlich auch überprüft haben, ob
derjenige der ist, für den er sich ausgibt. Das hat aber nur etwas
mit der Austellung zu tun und ist für SSL unerheblich, denn ich muss
nicht Verisign in meinem Zertifikatsspeicher für vertrauenswürdige
Austeller haben. Genausogut könntest du das Zertifikat vom CCC oder
ein entspr. Stammzertifikat in den Speicher laden.
Wenn du dir die Meldung richtig anschaust, dann wirst du feststellen,
dass das Zertifikat gültig ist und der angegebenen Name mit der Seite,
die du erreichen willst übereinstimmt. Es wird nur bemängelt,
dass dem Zertifikat nicht vertraut wird und genau das ist meine Aussage.
Zertifikatspfade werden auch nicht immer on the fly überprüft, soll
heißen, dass Verisign nur einmal den Antragssteller checkt, und zwar
bei der Austellung, nicht beim Aufbau der SSL Verbindung aber auch das
kann man irgendwo einstellen.bernd
-
Hallo!
Wenn du dir die Meldung richtig anschaust, dann wirst du feststellen,
dass das Zertifikat gültig ist und der angegebenen Name mit der Seite,
die du erreichen willst übereinstimmt.Ja, aber das bringt mir genau gar nichts wenn ich demjenigen der das Zertifikat signiert hat nicht vertraue. Natürlich abgesehen von der funktionierenden Verschlüsselung. Sicher kann ich das Zertifikat manuell überprüfen, oder auf anderem Wege importieren... aber das ist im "normalen Geschäftsverkehr" im Internet in den seltensten Fällen praktikabel. Zertifikaten die von Verisign signiert wurden wird von >99% aller heute gängigen Browser vertraut.
Es wird nur bemängelt,
dass dem Zertifikat nicht vertraut wird und genau das ist meine Aussage.Das ist ja auch richtig, aber Deine Aussage war:
Es wird sichergestellt,
dass der Rechner auf der anderen Seite der ist, für den er sich ausgibt.Das wird eben nur dann sichergestellt, wenn man dem Zertifikat vertrauen kann. Angenommen ich trage auf Deinem Rechner in der /etc/hosts eine IP von mir für die Domain sparkasse.de ein, und installiere unter dieser IP einen Webserver mit Vhost für sparkasse.de mit einem Zertifikat, welches ich auf sparkasse.de ausstelle und selber signiere. Ist dann sichergestellt wenn Du sparkasse.de aufrufst, dass dieser Server der ist für den er sich ausgibt? Dann wird auch "nur" bemängelt, dass Du "meiner CA" nicht per default vertraust.
Zertifikatspfade werden auch nicht immer on the fly überprüft, soll
heißen, dass Verisign nur einmal den Antragssteller checkt, und zwar
bei der Austellung, nicht beim Aufbau der SSL Verbindung aber auch das
kann man irgendwo einstellen.Ja, muss ja auch nicht. Das gute ist ja, dass normalerweise auch nur die Betreiber des entsprechenden SSL-Servers in den Besitz eines von einer vertrauenswürdigen CA signierten Zertifikats kommen können. Ich könnte also kein Zertifikat von Versign & Co. für sparkasse.de bekommen. Und so lange ich das nicht bekommen, bekommt jeder Besucher die bekannte Meldung, wenn ich per Zertifikat vorzugebe sparkasse.de zu sein.
Grüße
Andreas--
SELFHTML Tipps & Tricks: http://aktuell.de.selfhtml.org/tippstricks/
-
-
-
-
-
-
-