Mit der Hilfe unserer Zertifizierungsstelle ist es dann aber doch gelungen, den simplen Key zu bekommen. Das funktioniert – natürlich unter Linux und in meinem Fall unter Ubuntu – ganz gut. Es braucht lediglich das Paket openssl, welches in aller Regel gleich beim Aufsetzen des Systems mit installiert wird. Ansonsten lässt es sich leicht nachinstallieren:

sudo apt-get install openssl

Danach lässt sich der Key ganz einfach exportieren. Im Beispiel liegt eine Datei namens server-iis.pfx vor, die vom IIS exportiert wurde. Mit dem unterstehenden Befehl, der in der Konsole abgesetzt wird, bekommt man die Datei server.key.

openssl pkcs12 -in server-iss.pfx -nocerts -nodes -out server.key

Das ist dann der richtige private Schlüssel. Natürlich sollte man das Kennwort kennen, welches beim Export ab dem IIS angegebene werden muss. Der privaten Schlüssel wird benötigt, um das Zertifikat bei “nichtwindows-Geräte” zu importieren und aktivieren. Gerade bei Zertifikaten, die mehrere URLs zertifizieren, ist das eine gute Sache.

Ähnliche Artikel

• 10. Februar 2011 -- Thunderbird unter Ubuntu mit Windows (27)
• 18. Oktober 2010 -- Eindrücke von der Ubucon 2010 (7)
• 12. Oktober 2010 -- Push-To-Talk mit Mumble (10)
• 20. September 2010 -- FrOSCamp und Keysigning (2)
• 15. Juni 2010 -- FreiesMagazin bei DeimHart (0)

Als dann Microsoft Hotmail gekauft hatte, verlor der Dienst nicht nur Benutzer, sondern später auch die Fähigkeit, ausserhalb des Internet Explorer anständig zu funktionieren. Das ist mittlerweile gefixt und der Webmailer lässt sich auch mit einem Firefox oder Opera unter einem Linux einigermassen bedienen. Allerdings wird es wohl wenige Linux-Leute geben, die ein Microsoft-Webmailer aktiv nutzen wollen. Wahrscheinlich nicht wegen der Qualität oder der Technik, sondern eher aus philosophischen Gründen.

Ich nutze das Konto nicht aktiv. Als ich die Meldung vom Tagesanzeiger gelesen habe, wollte ich mich wieder einmal einloggen und mich etwas umsehen. Der Spamfilter scheint in Ordnung zu sein, das Postfach ist bis auf die Werbemails von Microsoft leer. Klickt man dann aber auf den Link “E-Mail-Konto hinzufügen”, erscheint die scheussliche Meldung, dass das Server-Zertifikat in keinem Root-CA-Zertifikat gefunden werden kann.

Sollte denen da drüben nicht passieren, aber Fehler können überall geschehen. Ist einfach nicht ganz so schön. Eine *.ch-Adresse werde ich mir nicht besorgen, wer aber eine will, tut gut daran, möglichst schnell zu sein, um seinen Lieblingsalias zu sichern. Ich bin nicht generell gegen Microsoft, im Gegenteil: Windows 7 und der Windows Server 2008 R2 machen mir einen sehr guten Eindruck und ich konnte mit dem Server schon einige Lösungen treffen, aber ich stehe halt dafür ein, dass Wissen offen zur Verfügung stehen soll. Nur dann kann es sich ausdehnen und alles andere ist letztlich schädlich für uns als Gemeinschaft.

Ähnliche Artikel

• 16. April 2010 -- Aus einer pfx-Datei den privaten Schlüssel exportieren (0)
• 22. November 2008 -- Mails per PHProjekt abholen (POP3 oder IMAP) (0)
• 5. Mai 2010 -- Ein Foto im GnuPG-Schlüssel (5)
• 9. April 2010 -- Neun Jahre RadioTux und Deimhart (1)
• 11. März 2010 -- Balsa, der vergessene Mail-Klient (11)

CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei X.509-Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

Ein weiterer, wichtiger Punkt ist die Vertrauensbildung der einzelnen Benutzer der Zertifikate und damit der ganze Gemeinschaft von CAcert. Es basiert auf dem Netz des Vertrauens und bietet daher eine ganze Menge Vorteile. Einerseits findet die Identitätsüberprüfung dezentral und damit nicht hierarchisch statt. Jeder kann Mitglieder der Gemeinschaft werden und ein Zertifikat bekommen, soweit ein paar Grundregeln erfüllt sind und eingehalten werden. Andererseits wächst das Netz des Vertrauens genau durch diese dezentrale Struktur immer weiter heran und bietet bereits heute eine gute Alternative zu den kommerziellen Anbietern.

Es gibt aber auch Nachteile. Ich sehe da zurzeit drei Punkte, die allenfalls noch zu verbessern wären. Erstens sind die Root-Zertifikate nicht in den gängigen Browsern und Mail-Programmen integriert, was bei der Verwendung von CAcert-Zertifikaten zu der hässlichen Meldung führt, dass dem Zertifikat nicht vertraut würde, da die Herkunft unklar wäre. Weiter kann CAcert keine Haftung für Firmen wahrnehmen, die ein solches Zertifikat nutzen und sich daraus Ansprüche ableiten liessen. Der zweite Punkt ist weit weniger arg, als der erste. Und schliesslich dürfte es für einen Einsteiger etwas umständlich sein, zu einem Zertifikat zu kommen, wenn er niemanden persönlich kennt und aus der Liste des Assurer jemanden finden soll. Je mehr Assurer es gibt, umso einfacher dürfte diese Herausforderung zu erledigen sein.

Wie dem auch sei; ich konnte nun an der Keysigning-Party in Zürich so viele CAcert-Punkte sammeln, dass ich nun selbst zu einem Assurer (nur mit Login bei CAcert zu erreichen) geworden bin. Ich bedanke mich bei allen Assurern, die meine Identität so bereitwillig geprüft haben. Damit kann das Web of Trust vielleicht wieder ein kleines Stück weiter wachsen und ich werde versuchen, meinen Teil dazu beizutragen.

Bis jetzt setze ich zwar noch kein CAcert-Zertifikat ein, aber das ändert sich hoffentlich bald. Immerhin konnte ich meinen GnuGP-Schlüssel mit CAcert austauschen und unterschreiben.

Ähnliche Artikel

• 15. Mai 2010 -- Keysigning-Party am LinuxTag in Berlin (0)
• 12. Dezember 2009 -- Keysigning-Party zu Zürich und CAcert (4)
• 16. April 2010 -- Aus einer pfx-Datei den privaten Schlüssel exportieren (0)
• 27. Januar 2010 -- Hotmail für die Schweiz (1)
• 30. November 2009 -- Keysigning-Party am 11. Dezember in Zürich (3)

Ich nutze Prism beispielsweise, um meine Mails per Horde zu verwalten. Damit habe ich ein Fenster, das separat verwaltet werden kann und ebenfalls in einem eigenen Speicherbereich läuft. Das tun zwar die einzelnen Tabs im Firefox auch, aber mit Prism habe ich ein davon losgelöstes Fenster, das bei mir immer offen ist.

Prism ist in den offiziellen Quellen von Ubuntu enthalten und kann daher ganz normal installiert werden:

sudo apt-get install prism

Eine Herausforderung bin ich begegnet, als ich meine Mails per Prism und Horde abholen wollte. Da Horde bei mir auf einem Ubuntu-Serverli bei HostEurope läuft, der bloss über ein selbstsigniertes Zertifikat verfügt, erscheint bei Prism eine hässliche Fehlermeldung, die man nur mit OK schliessen kann:

The certificate is not trusted because it is self signed.

Diesen “Fehler” kann man sehr leicht flicken. Dazu muss die betreffende URL mit dem Firefox geöffnet werden. Dort erscheint – wenn man die Site noch nie besucht und eingerichtet hat – dieselbe Fehlermeldung, bei der nun eine Ausnahmeregelung erlaubt wird. Danach muss das selbstsignierte Zertifikat heruntergeladen und erneut bestätigt werden, dass man der Ausnahme zustimmen will. Die so generierten Informationen liegen nun in der Datei namens cert_override.txt, welche im Pfad /home/Benutzer/.mozilla/firefox/xxxxxxxx.default/ zu finden ist. Die kann man nach /home/Benutzer/.prism/xxxxxxxx.default/ kopieren. Da Prism ebenfalls die Gecko-Engine nutzt, kann die Applikation die Informationen verarbeiten und die Site wird angezeigt.

Ich halte Prism für eine gelungene Applikation, um ein Webmail-GUI damit zu bedienen. Es könnte aber auch gut für andere Webapplikationen eingesetzt werden, wie etwa ein Kalender oder ein Online-Reader. Auch im Bereich der Sicherheit sehe ich gewisse Einsatzmöglichkeiten, um beispielsweise bloss eine Site zur Verfügung zu stellen. Da dem Browser die üblichen Bedienungselemente fehlen, können dann auch wirklich bloss jene Site und die Links darin besucht werden.

Ein kleines Problem konnte ich allerdings bislang nicht lösen. Die Rechtschreibprüfung, die ja auch im Firefox gute Dienste leistet, kann ich beim Prism nicht auf Deutsch umstellen. Das entsprechende Kontext-Menü fehlt. Vielleicht komme ich noch drauf oder jemand weiss eine Lösung.

Ähnliche Artikel

• 3. Februar 2010 -- identi.ca gefangen im Prism (2)
• 17. September 2009 -- Abgesicherter Modus beim Firefox (2)
• 17. Dezember 2010 -- Firefox ohne network-manager geht offline (10)
• 25. November 2009 -- SeaMonkey 2.0 mittels Ubuntuzilla installieren (0)
• 9. Mai 2008 -- Flock und Debian (0)

Certificate failure for mail.irgendwas.ltd: self signed certificate: /C=US/ST=NY/L=New York/O=Courier Mail Server/OU=Automatically-generated IMAP SSL key/CN=localhost/emailAddress=postmaster@example.com

Das selbstsignierte Zertifikat funktioniert hier offenbar nicht. Ich nutze IMAP lieber und deswegen habe ich vorerst bloss diese Version “repariert”, POP3 ist aber quasi deckungsgleich zu lösen. Es gibt beim PHP-Befehl imap_open einen Schalter, den man anfügen muss, so dass die selbstgestrickten Zertifikate nicht überprüft werden. Er nennt sich /novalidate-cert und wird einfach hinter dem Befehl angehängt. Unter PHProjekt ist das Ganze recht einfach zu lösen; der Schalter /notls wird benutzt. Wird das IMAP Addon eingesetzt, kann im Konfigurationsfile unter addons/AeroMail/config.inc.php folgende Zeile mit den Portangaben durch den Schalter ergänzt werden:

$IMAP_PORT = "143/imap/notls";

Wird jenes Addon nicht eingesetzt, reicht es, in den Optionen der Mailkonten im Webinterface beim Feld Server hinter den Servernamen den Schalte /notls anzuhängen. Ohne Leerzeichen zwischen Servernamen und Schalter!

mail.irgendwas.ltd/notls

Und sogleich funktionierte bei mir das Abholen der Mails. Das hat den grossen Vorteil, dass ich die projektbezogenen Mails in ein entsprechendes Archiv legen kann, welches ich dann mit dem jeweiligen Projekt verknüpfe. So ist alle sauber zusammen und auf der Single-Projektübersichtsseite sind die Nachrichten ebenfalls sichtbar.

Eigentlich wollte ich noch etwas am Skin herumschrauben. Ich bin aber nicht ganz sicher, was sich mit der Version 6.0 alles ändert und deswegen warte ich wohl besser auf jene neue Ausgabe vom PHProjekt.

Ähnliche Artikel

• 30. Juni 2008 -- Ist Mulberry Müll? (2)
• 11. März 2010 -- Balsa, der vergessene Mail-Klient (11)
• 22. Juli 2008 -- Sylpheed bewährt sich (6)
• 5. Juli 2008 -- Balsa, der Gnome Mail-Client (3)
• 8. Februar 2010 -- RoundCube und die Plugins (5)