Installation von CAs und Client-Zertifikaten in MacOS

Installation von CAs und Client-Zertifikaten in MacOS

Das folgende Beispiel bezieht sich auf OS X 10.11.6, sollte aber auch für etwas ältere oder neuere OS-X-Versionen sinngemäßg gleich funktionieren.

Unter MacOS X werden Zertifikate zentral in der "Schlüselbundverwaltung" verwaltet.

Zumindest Safari und Google Chrome bedienen sich dieser Schlüsselbünde, Firefox leider nicht.

Vorbereitung: CAs herunterladen

Z.B. Projektname_RootCA.pemProjektname_SubCA.pem.

Ablegen z.B. unter Downloads/CAs oder Schreibtisch/CAs oder Dokumente/CAs, oder sonstwo nach Geschmack.

Schüsselbundverwaltung starten

In Finder wechseln, Shift-Cmd-U oder via Menü "Gehe zu", "Dienstprogramme".

"Schlüselbundverwaltung" doppelklicken.

In linker Seitenleiste oben den Schlüsselbund "Anmeldung" auswählen.

In linker Seitenleiste unten die Kategorie "Zertifikate" auswählen.

Alle weiteren Kapitel gehen von der jetzt hergestellten Situation aus.

CAs in Schüsselbund importieren (in Schüsselbundverwaltung)

Shift-Cmd-I oder via Menü "Ablage", "Objekt importieren".

Root-CA (z.B. Projekt_RootCA.pem) importieren.

Importierte Root-CA (meist mit rotem X am Icon, Liste ist alphabetisch sortiert) in Zertifikatsliste auswählen. Doppelklicken oder rechte Maustaste / "Informationen".

Zweig "Vertrauen" aufklappen.

Entweder für alle Zwecke (über "Bei Verwendung dieses Zertifikats") oder für "Secure Sockets Layer" und evtl. "X.509-Standardrichtlinien" auf "Immer vertrauen" stellen.

Detailfenster schliessen. Bei Rückfrage Passwort für eigenes MacOS-Konto eingeben.

In der Zertifikatliste sollte beim Icon des Zertifikats das rote X verschwinden und ein blaues irgendwas auftauchen.

Import und Vertrauens-Votum für etwaige zwischen-CAs (z.B. Projekt_SubCA.pem) wiederholen.

Client-Zertifikat importieren (in Schüsselbundverwaltung)

Shift-Cmd-I oder via Menü "Ablage", "Objekt importieren".

Zertifikat (z.B. mycert.certmycert.pem, ...) oder Zertifikatspaket (z.B. mycert.p12) doppelklicken.

Ggfs. Passwort (des Zertifikatspaketes!) eingeben.

Fertig. Das Zertifikat scheint als aufklappbares Objekt in der Liste auf, der Schlüssel ("private Key") wird als Unterobjekt des Client-Zertifikates dargestellt.

Verwendung eines Client-Zertifikats

Wenn man sich das erste Mal (z.B. via Browser oder Mail-Programm) mit dem Client-Zertifikat-geschützten Dienst verbindet frägt das Progamm danach welches Client-Zertifikat zur Identifizerung benutzt werden soll.

Im Anschluss fragt das Betriebssystem nochmal nach ob die jeweilige Anwendung das Zertifikat verwenden darf, das ist natürlich mit "Erlauben" oder "Immer erlauben" zu bestätigen.