Arch Linux

[Chromium] Import von Zertifikaten

KTT73

Moin,

ich weiß nicht Recht wo nach ich suchen muss, bzw. haben meine Suchen keine schlüssigen Ergebnisse gebracht.

Meine Firma benutzt einen MS Exchange Server für die eMails, dieser stellt für die dezentralen Mitarbeiter (wie ich) ein Portal zu Verfügung.
Dieses betritt man über eine <https://...> Adresse (SSL). Ich benutze Chromium und möchte nun das es aufhört ständig Fehlermeldungen auszugeben

"Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig!"

Bei Firefox, kann man das Zertifikat ja einfach importieren, bei Chromium habe ich keine solche Funktion gefunden. Wie stelle ich das an?
Das Zertifikat habe ich mir schicken lassen und habe es auf meiner Platte liegen, eine *.cer Datei.

Gruß KTT73

GerBra

Chromium anpassen -> Optionen -> Details -> Sicherheit.
Dort auf den Link "Zertifikate verwalten" bringt mich zur Seite:
http://code.google.com/p/chromium/wiki/LinuxCertManagement

Das Tool certutil ist im Paket nss.

KTT73

Auf der Seite war ich auch schon, ich habe einige Möglichkeiten des hinzufügens in die DB versucht, nur leider ohne Erfolg.

Was bedeutet -n <NICK> mein Nick also Anmeldename oder kann man da dem Zertifikat einen Namen geben?
Bei -t <TRUSTARGS> wirds ja richtig schwierig ich habe einen 100% SSL Email Server also Kategorie 1 und 2 da sich mit dem Zertifikat der Server auted habe ich eingetragen: -t "C,C," habe aber auch -t "Cu,Cu," probiert. Leider ohne Erfolg.

GerBra

Funktioniert hier, zumindest nach einem Neustart von Chromium.

Angelehnt an das Skript unten bei den Kommentaren der o.a. Webseite.
Bei -connect eben deinen Server + Port eintragen. Die Datei mein.cer sollte dann das Cert. zwischen BEGIN und END enthalten.

% echo | openssl s_client -connect dein.host:port 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > mein.cer

% certutil -d sql:/$HOME/.pki/nssdb -A -t "TC,TC," -n "testcert" -i mein.cer
(Der Parameter -n /nickname ist eine frei wählbare Beschreibung des Certs, diese erscheint dann später auf der Detailseite bei den Zertifikat-Details -> grünes Schloß)

 % certutil -d sql:/$HOME/.pki/nssdb -L
(listet alle Certs in der sqlite-DB auf.)

 % certutil -d sql:/$HOME/.pki/nssdb -L -n "testcert"
(zeigt dir alle Details zum Cert mit dem Nickname testcert an)

Beim Aufruf der HTTPS-Seite wurde ich trotzdem gefragt: Fortfahren, ein Ja zeigte mir beim Schloß-Symbol: Identität nicht bestätigt (orange), Verbindung ok (grün).
Nach einem Neustart von Chromium war dann beides grün, das Zertifikat (ein selbserzeugtes) wurde auch als bestätigt anerkannt.

nonickknown

Ich habe das Problem auch schon länger.
Habe auch die Schritte auf dieser Seite und die von GerBra versucht.
Leider bleibt die Fehlermeldung.
Hat noch jemand eine Idee? bzw hat es bei dir geklappt KTT73?

MfG

KTT73

Ich habe das WE gearbeitet, daher noch keine Zeit gehabt es zu testen. Melde mich sobald ich es getan habe.

...Die Datei mein.cer sollte dann das Cert. zwischen BEGIN und END enthalten...

das verstehe ich nicht. Was meinst du damit?

fetch

Moin moin,

leider habe ich die selben Probleme mit Chrome und NSS.
Ich habe die Zertifikate nun auf alle moeglichen Arten importiert, mit allen moeglichen
THRUSTARGS und dies auch nach Anleitung von Googles Wikieintrag.

Allerdings bekomme ich nach wie vor die folgende Meldung in der Konsole:

[20498:20509:9184125469:ERROR:net/base/x509_certificate_nss.cc(658)] CERT_PKIXVerifyCert for sub.domain.tld failed err=-8181

in Verbindung mit der roten Warnseite, dass die aufgerufene URL, bzw. das Zertifikat nicht vertrauenswuerdig ist.

Hatte mal jemand das selbe Problem und evtl. einen Fix oder Workaround?

Gruesse,
fetch

GerBra

KTT73 schrieb
...Die Datei mein.cer sollte dann das Cert. zwischen BEGIN und END enthalten...
das verstehe ich nicht. Was meinst du damit?

Typisch meine Art, manchmal verstehe selbst ich mich nicht5, daß verstehe wer will ;-)
Ich meinte damit, daß das File welches man durch "openssl s_client -connect foobar etc" erhält ja umfangreicher ist, als certutil es benötigt. Das sed in meinem ersten Aufruf im Code-Block parst ja nun genau diesen Teil raus, somit sieht die Datei mein.cer halt im Prinzip so aus:

-BEGIN CERTIFICATE-
23fsdfsdfs65
.... usw ...
567gftg fz676
-END CERTIFICATE-

Habt ihr mal öffentlich erreichbare HTTPS-Server bei denen ich es gegentesten kann? Ich bin ja scheinbar der Einzige, der zumindest mit meinem selbstsignierten Zertifikat Erfolg hatte...

fetch

Die URLS sind per Mail an dich raus 🙂

GerBra

Die Zertifikate sollten schon noch gültig sein. Und auch zum Hostname/Servername passen, der vorgibt an der Gegenstelle zu sein.

fetch

GerBra schriebDie Zertifikate sollten schon noch gültig sein. Und auch zum Hostname/Servername passen, der vorgibt an der Gegenstelle zu sein.

Das waren nur Beispiele. Auch mit gueltigen Zertifikaten, die self-signed bis 2012 sind, sowie mit dem richtigen Hostnamen angelegt wurden, tritt der Fehler bei mir auf.

GerBra

Dann solltest Du/Ihr halt an die Chromium-Entwickler appellieren, für die Cert-Verwaltung eine bessere Funktionalität einzubauen. Momentan ist das sicher (wird von vielen ja auch moniert) eher suboptimal.
Ich habe aktuell keine Probleme mit den HTTPS-Servern, mit denen ich mich verbinde. Zu meinem eigenen habe ich es ja gelöst.
Alternativ wäre halt für https generell einen anderen Browser zu verwenden, dem FF kann man als User ja quasi jedes noch so krude Zertifikat irgendwie unterjubeln ;-)