PEM SSL Zertifikate in JES’ NSS importieren
Wir haben vergangene Woche geübt, Zertifikate im PEM Format welche von CAcert unterschrieben worden sind, in NSS zu importieren. Leider gibt es nicht sonderlich viel Dokumentation, wie man fremde Zertifikate in NSS importiert, habe ich diese Schritt für Schritt Anleitung geschrieben.
NSS steht für Network Security Services und ist eine SSL Bibliothek, welche ürsprünglich von Netscape entwickelt wurde. NSS wird neben Firefox und Thunderbird in sämtlichen JES Produkten von Sun verwendet.
Als erstes sollte man das unterschriebene Zertifikat sowie den private Key in einem File haben.
# cat foo.bar.com.cert foo.bar.com.key > both.pem
Da NSS mit dem PEM Format nichts anfangen kann, muss das Zertifikat in das PKCS12 Format konvertiert werden, welches dann mit pk12util importiet werden kann.
# openssl pkcs12 -export -in both.pem -out both.p12 -name foo.bar.com
# pk12util -d /opt/SUNWmsgsr/config -i both.p12 -v
Wenn dies erfolgreich war, sollte certutil bereits das Zertifikat zeigen.
# certutil -d /opt/SUNWmsgsr/config -K Enter Password or Pin for "NSS Certificate DB": <0> Server-Cert <1> <2> foo.bar.com <3> <4> <5>
Da das Zertifikat der CA Authority CAcert noch nicht importiert wurde, erhalten wir folgenden Fehler:
# certutil -d /opt/SUNWmsgsr/config -V -n foo.bar.com -u V certutil: certificate is invalid: Peer's Certificate issuer is not recognized.
Das Zertifikat gibt es bereits im PKCS12 Format, deshalb muss man es nicht konvertieren.
# wget http://www.cacert.org/certs/root.der # certutil -d /opt/SUNWmsgsr/config -A -i root.der \ -n intermediate -t "C,C,C"
Zum Abschluss sollte man noch überprüfen, ob alles korrekt in die Datenbank importiert wurde.
# certutil -d /opt/SUNWmsgsr/config -L Server-Cert CTu,u,u intermediate C,C,C foo.bar.com u,u,u
# certutil -d /opt/SUNWmsgsr/config -V -n foo.bar.cim -u V certutil: certificate is valid
Tip: Mit ‘msgcert list-certs‘ werden die Zertifikaten komfortabler aufgelistet. Unter anderem zeigt msgcert, wann das Zertifikat abläuft.