saeckereier
Graue Eminenz
Eine Frage die sich mir in den letzten Tagen gestellt hat, ich habe für mein Netz eine CA erstellt um mir selbst meine nur lokal gültigen Zertifikate zu verteilen, sei es für User, sei es für Server. Ist es jetzt wirklich so dass ich JEDER einzelnen verdammten Anwendung diese CA selbst beibringen muss und das das dann auch noch jeder User selbst machen muss? Ich fühle mich doch irgendwie von meinem tollen aus der CLI bedien- und konfigurierbaren System verar****.. Die CA ist zwar im zentralen Keystore von OpenSSL (/etc/ssl/certs) eingetragen und OpenSSL verifiziert meine Zertifikate auch eifrig, aber keine einzige Anwendung scheint zu wissen das es den gibt...
OpenLDAP: Konfigdatei
Firefox: Über die GUI hinzufügbar, manuell keine Chance. Global wie?
Thunderbird: Wie Firefox aber natürlich separater Keystore
Evolution: Nur über die GUI? Keine Ahnung wo die Zertifikate wieder herkommen...
KDE: KDE zentraler Keystore, auch wenn der regelmässig absemmelt beim Versuch da was hinzuzufügen, wenigstens benutzt Kmail denselben wie Konqueror und beide sind jetzt ruhig. Globaler Keystore bzw. default keystore, keine Chance, habs nicht geschafft meine CA systemweit einzutragen..
Psi: Hat wenigstens eine (system) zentrale xml Datei in der man es eintragen kann. Das das nirgendswo zu finden ist ist zwar ärgerlich, aber wenn man sie dann einmal hat...
Kopete: Wo auch immer das seine Zertifikate prüft, es ist weder KDE noch die Psi Datei und eine andere konnte ich nicht finden, Importieren von CAs ist weder in GUI noch CLI möglich, damit ist der Client schonmal gestorben.
Java: Hört bloss auf, jede (!) VM einen eigenen Keystore, versteckt in den Weiten meines Dateisystems... Wenigstens gibt es den nur global und ich konnte in meiner aktuellen VM den Key hinzufügen, jetzt hoffen wir mal dass ich mich daran erinnere wie das ging wenn ichs wieder brauche..
Bin ich nur zu blöd oder haben es sich sämtliche Anwendungsprogrammierer als Ziel gesetzt die Verwaltung von CA Zertifikaten unmöglich zu machen? Warum kann ich bei KD fast alles auf default werte setzen nur die Zertifikate nicht. Warum nutzen nicht einfach alle Verwender von OpenSSL dessen Keystore... Und warum funktioniert das in Windows (Firefox und Thunderbird jetzt mal ausgenommen, wieder so ein Ärgernis) In diesem Fall sehe ich auch keinen Grund warum ich das Windows Argument nicht bringen dürfte, ich nutze mein Linux lange genug um das sagen zu dürfen das unsere Linuxlösung da wirklich suboptimalst ist..
Und ja, zum Grossteil ist dieser Post mehr Gemecker als etwas anderes, aber ich hoffe ehrlich dass ich etwas übersehen habe oder mir zumindest jemand was dazu sagen kann wo ich systemglobale Zertifikate für Evolution und KDE installieren kann... Gefunden habe ich nach Tagen nichts. (Oh Firefox und Thunderbird wären auch nett zu wissen)
OpenLDAP: Konfigdatei
Firefox: Über die GUI hinzufügbar, manuell keine Chance. Global wie?
Thunderbird: Wie Firefox aber natürlich separater Keystore
Evolution: Nur über die GUI? Keine Ahnung wo die Zertifikate wieder herkommen...
KDE: KDE zentraler Keystore, auch wenn der regelmässig absemmelt beim Versuch da was hinzuzufügen, wenigstens benutzt Kmail denselben wie Konqueror und beide sind jetzt ruhig. Globaler Keystore bzw. default keystore, keine Chance, habs nicht geschafft meine CA systemweit einzutragen..
Psi: Hat wenigstens eine (system) zentrale xml Datei in der man es eintragen kann. Das das nirgendswo zu finden ist ist zwar ärgerlich, aber wenn man sie dann einmal hat...
Kopete: Wo auch immer das seine Zertifikate prüft, es ist weder KDE noch die Psi Datei und eine andere konnte ich nicht finden, Importieren von CAs ist weder in GUI noch CLI möglich, damit ist der Client schonmal gestorben.
Java: Hört bloss auf, jede (!) VM einen eigenen Keystore, versteckt in den Weiten meines Dateisystems... Wenigstens gibt es den nur global und ich konnte in meiner aktuellen VM den Key hinzufügen, jetzt hoffen wir mal dass ich mich daran erinnere wie das ging wenn ichs wieder brauche..
Bin ich nur zu blöd oder haben es sich sämtliche Anwendungsprogrammierer als Ziel gesetzt die Verwaltung von CA Zertifikaten unmöglich zu machen? Warum kann ich bei KD fast alles auf default werte setzen nur die Zertifikate nicht. Warum nutzen nicht einfach alle Verwender von OpenSSL dessen Keystore... Und warum funktioniert das in Windows (Firefox und Thunderbird jetzt mal ausgenommen, wieder so ein Ärgernis) In diesem Fall sehe ich auch keinen Grund warum ich das Windows Argument nicht bringen dürfte, ich nutze mein Linux lange genug um das sagen zu dürfen das unsere Linuxlösung da wirklich suboptimalst ist..
Und ja, zum Grossteil ist dieser Post mehr Gemecker als etwas anderes, aber ich hoffe ehrlich dass ich etwas übersehen habe oder mir zumindest jemand was dazu sagen kann wo ich systemglobale Zertifikate für Evolution und KDE installieren kann... Gefunden habe ich nach Tagen nichts. (Oh Firefox und Thunderbird wären auch nett zu wissen)
