Selbstsignierte Zertifikate in Mac OS X 10.4 importieren
Wir verwenden im Unternehmen für die SSL-verschlüsselte Kommunikation mit IMAP- und Webservern selbstsignierte Zertifikate. Deshalb zweifelt Mac OS X deren Vertrauenswürdigkeit an und man muss bei SSL-Verbindungen per Apple Mail oder Safari immer wieder aufs Neue bestätigen, dem Zertifikat zu trauen. Ich habe das Server-Zertifikat in Apples Schlüsselbund importiert und als vertrauenswürdig eingestellt, aber das änderte nichts.
Wir verwenden im Unternehmen für die SSL-verschlüsselte Kommunikation mit IMAP- und Webservern selbstsignierte Zertifikate. Deshalb zweifelt Mac OS X deren Vertrauenswürdigkeit an und man muss bei SSL-Verbindungen per Apple Mail oder Safari immer wieder aufs Neue bestätigen, dem Zertifikat zu trauen. Ich habe das Server-Zertifikat in Apples Schlüsselbund importiert und als vertrauenswürdig eingestellt, aber das änderte nichts.
Es genügt nicht, das Server-Zertifikat als vertrauenswürdig zu markieren, denn Mac OS X meckert schon deshalb, weil es das Root-Zertifikat nicht kennt. Nach den SSL-Richtlinien kann das Server-Zertifikat daher grundsätzlich nicht als vertrauenswürdig angesehen werden. Die Fehlermeldung von Apple Mail ist freilich etwas irreführend, weil sie nicht klarstellt, dass das Root-Zertifikat fehlt, sondern lediglich moniert, dass dessen Verifizierung gescheitert ist (Das Root-Zertifikat für diesen Server konnte nicht überprüft werden).
Deshalb braucht man zunächst ein gültiges Root-Zertifikat - es wird zu den X.509-Anchors hinzugefügt. Üblicherweise legen Administratoren die Root-Zertifikate ihres Unternehmens im DER-Format auf einem internen Webserver für den Download per Browser bereit. Beim Mac sollte man sicherstellen, dass der Name der Zertifikatsdatei mit .cer endet; gegebenenfalls muss man die Endung also im Finder anpassen. Welche Art Zertifikat vorliegt - ob Server oder Root -, kann man dann mit dem Programm Schlüsselbund aus dem Ordner Dienstprogramme prüfen. Dort klickt man im Menü auf den Eintrag „Zertifikatsassistent“, wählt „Zertifikate ansehen und auswerten“ sowie „SSL (Secure Sockets Layer)“, öffnet dann über das +-Symbol einen Auswahldialog und wählt die fragliche Datei aus. Auf ein selbstsigniertes Root-Zertifikat, das der Mac nicht kennt, weist der Assistent mit roten Lettern hin: „Dieses Zertifikat wurde von einer ungültigen Instanz signiert.“
Man importiert es, indem man im Schlüsselbund links unten auf „Schlüsselbunde einblenden“ klickt, in der Spalte links den Bereich X509Anchors öffnet und das Zertifikat dort zwischen die anderen Zertifikate legt (aber nicht auf ein anderes Zertifikat). Dafür ist die Eingabe des Administrator-Passworts erforderlich. Das Programm Schlüsselbund zeigt den Vorgang nicht umgehend korrekt an, man muss es dafür beenden und erneut starten. Danach ist das Root-Zertifikat zwar korrekt im Bereich X509Anchors aufgeführt, aber als selbstsigniertem Zertifikat traut ihm das Betriebssystem zunächst nicht.
Um es als vertrauenswürdig einzustufen, öffnet man es im Schlüsselbund per Doppelklick, schließt den Bereich „Details“, öffnet den Bereich „Einstellungen bestätigen“ und schaltet ganz unten das Menü „X.509 Standard-Policy“ auf „Immer vertrauen“ um. Startet man die Schlüsselbund-Software noch einmal neu und klickt dann auf das Root-Zertifikat, zeigt sie mit weißem Häkchen auf grünem Kreis an, dass es vertrauenswürdig ist (Dieses Zertifikat ist gültig). Wenn man jetzt Apple Mail oder Safari neu öffnet und eine SSL-Verbindung aufbaut, erfolgt keine Sicherheitsabfrage mehr. Auf Programme, die nicht auf die Zertifikatsverwaltung von Mac OS X setzen, etwa Firefox, wirkt sich der Trick natürlich nicht aus. (dz) (dz)
