Wie bekommt man ein cer-Zertifikat?

  • Firefox-Version
    92
    Betriebssystem
    Windows 10 alle updates 21H1

    Hi,

    nutze Firefox seit Version 1. Ich stehe hier vor einem Quantum-Problem.

    Wie bekommt man cer-Zertifikate? Wie kann man sie runterladen und irgendwo abspeichern?

    Das Problem habe ich schonmal hier gefragt: https://support.mozilla.org/en-US/questions/1350987 bzw. hier https://support.mozilla.org/de/questions/1350987

    in dieser pdf-datei (die wohl bald nicht mehr erreichbar sein wird) https://filex.secunet.com/?t=6e1e6779cc9…f30545dd7f4e6a5

    steht in kapitel 7.4.3 (seite 69) wie man cer-Zertifikate aus einer Seite über chrome und somie edge extrahieren kann.

    wie geht das mit dem firefox? wenn man auf das schlossymbol einer seite, wie camp-firefox.de geht und auf weitere informationen => zertifikat anzeigen, kann ich nur pem-dateien runterladen, die mir nicht weiterhelfen.

    soll ich die prozedur nochmal auf deutsch schreiben? auf dem ersten link steht schon alles. quantum-problem, weil ich glaube, dass es vor quantum keine probleme gab mit einem ... ehem ... zertifikat im Format DER-codiert-binär X.509 (.CER).

  • Hallo argsef,

    zuerst einmal 2 grundsätzliche Bemerkungen dazu:

    1. Sowohl .pem als auch .cer sind vom eigentlichen Inhalt her völlig identische Dateien. Nur eben als BASE-64 codierte ASCII-Datei oder in binärer Form. In den meisten Fällen ist dem importierenden Gerät egal, welches Format vorliegt (hast du probiert?)
    2. Beide enthalten den öffentlichen Schlüssel des Servers (und in der Regel noch die der herausgebenden Stelle/n) und Daten zur Identifizierung und das ganze vom Herausgeber signiert).

    Wenn der Firefox es wirklich nicht ermöglicht, ein anderes Format als .pem zu exportieren (ich habe das nicht ausgetestet), dann gibt es viele Möglichkeiten, einen Export als .pem in so ziemlich jedes Format zu konvertieren. Dabei treten auch, wenn du es richtig machst, keine Verluste auf.

    Gib in die Suchmaschine deines geringsten Misstrauens "Konvertieren .pem in .cer" ein und du bekommst eine Reihe guter Hinweise. Sie sehen IMHO alle "gut" aus.

    Viel Erfolg!

    Peter

    edit: Willkommen im Forum!

  • Frage: warum reicht dir ein Zertifikat als PEM nicht?

    PEM, DER, CRT und CER: X.509-Codierungen und -Konvertierungen - SSL.com
    Erkennen und Arbeiten mit digitalen PEM- und DER-Zertifikatdateien: Allgemeine Dateierweiterungen, visuelle Beispiele und Konvertierung mit OpenSSL.
    www.ssl.com

    Ich konnte es erfolgreich in Windows 8 importieren, und ich habe von dort auch die Möglichkeit, es als CER zu exportieren

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

  • Die Frage habe ich ja auch schon gestellt. Aber es gibt wirklich Geräte, wo ein bestimmtes Format gefordert wird - warum auch immer.

    Ach ja, selbst der Thunderbird kann im- und in diversen Formaten exportieren.

    Mit Windows kann ich es "leider" nicht probieren, denn ichhabegarkeinwindows ... .

    Aber, egal wie es ist, eine Konvertierung ist immer möglich.

  • ganz vielen dank an euch für so schnelle antworten in einer zeit, in der regierung und gematik einem einen strich in der rechnung "ruhiges und vollkonzentriertes arbeiten" machen. die patienten werden darunter am meisten leiden.


    1. Sowohl .pem als auch .cer sind vom eigentlichen Inhalt her völlig identische Dateien. Nur eben als BASE-64 codierte ASCII-Datei oder in binärer Form.

    edit: Willkommen im Forum!

    (ich müsste schon mehr als ein jahrzehnt hier sein, trotzdem danke, ich habe, als ich heute nach einer lösung auf meine frage suchte bemerkt, dass hier wahrscheinlich das forum geändert wurde. in meinem passwort manager stehen nur benutzername und passwort. beide gingen nicht. als ob gelöscht. deshalb neu erstellt. wie auch immer.)

    Ich hab's gewusst! ich hatte eine vorahnung, dass pem und cer gleich sein müssten aber ich war mir unsicher. ich weiß nicht, was kim-client der telekom und solutio charly (pvs) von mir wollen. würde ich nach deren anleitungen gehen bräuchte ich die cer-datei. ich weiß ehrlich gesagt selbst nicht was das alles soll. derzeit ist es so:

    [[[ thunderbird <===> kim-client (ein programm, dass einen email-server emuliert) ]]] <===> konnektor

    das in eckigen klammern ist auf einem rechner installiert und funktioniert gut ohne TLS. die gematik schreibt TLS vor sagt firma solutio. solutio will, dass ich TLS benutze zwischen charly und konnektor. nervt. wer soll mich in meinem netzwerk hacken und ausspionieren? die können doch gleich einen trojaner auf windows installieren! nein. wenn ein trojaner auf windows ist, ist das die schuld von microsoft. wenn was im netzwerk zusätzlich angeschlossen ist und ausspioniert, wollen wir, die gematik, nicht dafür haften.

    das habe ich vom PVS-hersteller bekommen. ich gehe mal davon aus es heißt nicht .der sonder .cer. die p12 datei kriege ich nach kapitel 11.4.1 praxis => clientsysteme => zertifikat generieren mit passwort => p12-datei runterladen. das geht mit jedem browser.

    hier https://www.ssl.com/de/leiten/pem-…onvertierungen/ steht das .cer und .der gleich sind. danke für den link!

    bei dem wort DER-codert-binär... musste ich an sesamstraße denken und an spongebob schwammkopf 37a,

    sowas passiert, wenn der stress zu hoch wird.

  • Vielleicht noch ein wenig zu diesem Thema:

    • .cer, .der, .p7b und (mitunter) .pem sind die reinen "öffentlichen" Zertifikate. Wie schon geschrieben, beinhalten sie zumindest den public key und die Bestandteile für die Identitätsprüfung - womit ich dich jetzt nicht zuschütten möchte.
      Und die Besonderheit bei .pem ist, das in diesem Format auch private Schlüssel exportiert werden können. Ja, das kann zur Verwirrung führen => durch Anzeige mit einem normalen Texteditor kann man das aber deutlich erkennen, wenn dort "private key" steht.
    • In allen Zertifikaten (-sdateien) kann, muss aber nicht, neben den o.g. benötigten Bestandteilen das oder die Herausgeberzertifikate des herausgebenden TrustCenters beinhaltet sein.
    • Für die Gültigkeitsprüfung eines Zertifikates ist/sind aber die Herausgeberzertifikate zwingend erforderlich. Das ist sozusagen das "elektronische Dienstsiegel" des Herausgebers. Diese Herausgeberzertifikate können wie folgt bereitgestellt werden:
      - als vom Hersteller des Gerätes oder des Browsers oder ... geprüfte und bereits importierte "vertrauenswürdige Zertifikate"
      - als Bestandteil der direkt importierten Server oder Benutzerzertifikat (gerade im .p7b ist die gesamte Zertifikatskette enthalten)
      - oder als zusätzlich zu importierende Zertifkatsdateien.
      Letztendlich ist das für die Gültigkeit der zu prüfenden Zertifikate uninteressant. Hauptsache, die Zertifikatskette ist vorhanden und kann geprüft werden.
    • Und dann gibt es noch die geheim zu haltenden privaten Schlüssel. Diese müssen auf einem sicheren Weg bereitgestellt oder übertragen werden und sind (wenn als Datei vorliegend) .p12, .pfx oder auch .pem-Dateien. Und sie sind auch (fast immer) mit einem Transport-Passwort geschützt. Für deren Import wird ebenfalls die Zertifikatskette des ausstellenden TrustCenters benötigt. Und die sicherste Methode für den Umgang mit derartigen privaten Schlüsseln ist die Speicherung auf einer entsprechend ausgestatteten Microprozessor-Chipkarte - aber diese kennst du ja wohl bestens.

    Habe ich dich doch zugeschüttet ... .

    BTW: Ich habe doch wirklich die gesamte Anleitung von Secunet durchgelesen. Und das hat sogar gute Erinnerungen an die letzten 15 Jahre meiner beruflichen Tätigkeit hervorgebracht. So unterschiedlich ist das eben. :)

    vy 73 de Peter

    • Und dann gibt es noch die geheim zu haltenden privaten Schlüssel. Diese müssen auf einem sicheren Weg bereitgestellt oder übertragen werden und sind (wenn als Datei vorliegend) .p12, .pfx oder auch .pem-Dateien. Und sie sind auch (fast immer) mit einem Transport-Passwort geschützt. Für deren Import wird ebenfalls die Zertifikatskette des ausstellenden TrustCenters benötigt. Und die sicherste Methode für den Umgang mit derartigen privaten Schlüsseln ist die Speicherung auf einer entsprechend ausgestatteten Microprozessor-Chipkarte - aber diese kennst du ja wohl bestens.

    Habe ich dich doch zugeschüttet ... .

    BTW: Ich habe doch wirklich die gesamte Anleitung von Secunet durchgelesen. Und das hat sogar gute Erinnerungen an die letzten 15 Jahre meiner beruflichen Tätigkeit hervorgebracht. So unterschiedlich ist das eben. :)

    vy 73 de Peter

    .der aus meinem post = öffentlicher schlüssel

    .p12-datei = privater schlüssel (zumindest aus meinem post)

    gute erinnerungen sind wie neugelerntes, immer etwas gutes.

  • X.509 – Wikipedia

    X.509 - Wikipedia
    en.wikipedia.org

    Konnektor für die Medizin vom Profi | secunet AG

    Downloads, Historie: Firmware, Release Notes und Bedienungsanleitungen, mehr lesen, BEDIENUNGSANLEITUNG

    https://filex.secunet.com/?t=7f1f574b337115ce9bee4027c94e2db7

    konnektorzertifikat => kapitel 5.3.3 TLS-Zertifikat exportieren

    clientzertifikat => kapitel 6.5.1 TLS-Zertifikat generieren und im Browser importieren

    Einmal editiert, zuletzt von Sören Hentzschel (16. Oktober 2021 um 14:12) aus folgendem Grund: Ein Beitrag von argsef mit diesem Beitrag zusammengefügt.