Linux Import Root-Zertifikat (CA)
19. November 2018
5. April 2023
Fix „Dies ist keine sichere Verbindung“ für Chrome und Firefox
Du hast genau dieses Problem? Du bist auf Arbeit und dein Browser warnt dich vor internen Seiten weil diese ein von der Firma ausgestelltes Zertifikat verwenden? Dann bist du hier genau richtig und ich werde dir zeigen wie du das Problem beheben kannst.
Chrome und Firefox nerven!
Jedes mal diese nervige Meldung akzeptieren, der Firefox merkt sich das Zertifikat wenigstens. Aber im Chrome muss man alle Tage wieder das Zertifikat akzeptieren. Warum das so ist? Das wird wohl nur Google wissen, die wollen ja sowieso nur das beste für uns *hust*.
Grundproblem: selbst ausgestelltes Zertifikat (z.B. bei Firmennetzwerk)
Die meisten Leute die in der IT arbeiten kennen das Problem die Firma hat internen Seiten welche mit einem selbst ausgestellten SSL Zertifikat abgesichert sind. Eigentlich keine schlechte Sache aber da diesem Zertifikat nicht vertraut wird entstehen dadurch nervige Nebeneffekte wie zum Beispiel die Warnmeldung im Browser.
Lösung: Root-Zertifikat importieren unter Ubuntu (Linux)
Verschiedene Truststore Datenbanken updaten
Eigentlich klingt die Lösung einfacher als Sie am Ende ist. Denn das Problem an sich besteht darin, das Betriebssystem und Browser verschiedenen „Truststores“ haben. Das bedeutet wenn das Betriebssystem (OS / Operating System) weiß welches Zertifikat vertraut werden darf, dann wissen es die Browser trotzdem nicht, da diese auf andere Truststore Datenbanken zugreifen.
Die Grundlegende Lösung für diese Problem habe ich im Blog von Thomas Leister gefunden. Vielen Dank an dieser Stelle. Seine Lösung habe ich optimiert und vereinfacht. Herausgekommen ist ein kleines Script was Ihr über einen Befehl, herunterladen und ausführen könnt.
Voraussetzung:
- Root Zertifikat vorhanden
- Zertifikat muss ‚root.cert.pem‘ heißen (ansonsten umbenennen)
- Zertifikat muss im gleichen Ordner wie das Script liegen
Script – update Browser TrustStores:
wget https://raw.githubusercontent.com/ManuelReschke/linux-helper/master/ubuntu/ca-certificate/install-certificate.sh; chmod +x install-certificate.sh
Was passiert da?
Das kleine Bash Script aktualisiert den Chrome (Chromium) und Firefox Truststore. Nach Neustart der Browser sollten diese nicht mehr nach einem Zertifikat fragen (bzw Sie fragen einmalig).
Den Codes des Scripts könnt Ihr euch auf meinem Github Profil ansehen: install-certificate.sh
Das Skript installiert als erstes das Zertifikat welches Ihr unter CERT_FILE angeben könnt in euer Linux System. Danach installiert es die Abhänigkeit zu libnss3-tools welche für den Befehl „certutil“ benötigt werden. Abschließend sucht und aktualisiert es die Truststores der Browser. Thats it 🙂
Adieu, nervige Sicherheitsmeldung
Damit sollten die nervigen Meldungen wie „Diese Verbindung ist nicht sicher“ – “ Fehlercode: SEC_ERROR_UNKNOWN_ISSUER“ oder „Dies ist keine sichere Verbindung“ der Vergangenheit angehören. Ein Problem weniger welches man täglich wegklicken muss 😉
Grüße an die Browser Entwickler die uns mit so etwas quälen!