[Eisfair] CERTS aus User-Sicht

[Juergen Edner]

Hallo Christian,

> Als User möchte ich mich eigentlich garnicht mehr mit .key, .crt, .pem
> oder .wasweißich für Dateien herumschlagen müssen, oder irgendwelchen
> Symlinks darauf von "abstrusem Verzeichnis X" auf "noch abstruseres File
> HEXDUMP.xyz". Das gehört unter die Motorhaube, nicht ans
> Armaturenbrett.

leider sind Programme und Konfigurationen so flexibel, dass es immer
einen Anwender gibt der garantiert wieder einen ganz anderen Zugang
zum Thema hat als Du.
Leider gehören nun einmal Schlüssel und Zertifikatsdateien genauso
zum Betrieb eines Servers und dem Sicherstellen des Zugangs dazu, wie
die Konfiguration der Anwendungen. Je weiter ich diese Informationen
unter der Haube verstecke, desto fahrlässiger wird aus meiner Sicht
mit dem Thema umgegangen.
Bei der letztmaligen Überarbeitung der Oberfläche habe ich schon
versucht einen Anwender durch die notwendigen Konfigurationsschritte
zur Erstellung eines Zertifikates zu führen. Leider werde ich es aber
nie schaffen ein so mächtiges Tool wie das OpenSSL-Programm
gleichzeitig einfach und auch flexibel zu gestalten.

> Beispiel: Ich möchte ein Zertifikat für den Webserver erstellen. Das
> Prozedere ist in der Doku zwar ausreichend dargelegt, aber warum ist das
> so kompliziuert? Der EisFair weiß, welche (virtuellen) Server mit
> welchen Namen installiert sind, da hätte man schonmal den Namen.
> Land/Bundesland/Ort/Organisation/Abteilung/Mailadresse müssen
> natürlich eingegegben werden, aber die Software könnte diese
> nicht-kritischen Informationen durchaus speichern und beim nächsten Mal
> wieder ausgraben als Default-Vorlage. Aber ab da könnte doch eigentlich
> alles automatisch gehen, mit gelegentlichen Eingeben der Passwörter
> für die Signatur.

Die Antwort habe ich Dir oben schon gegeben. Es gibt immer einen
Anwender der genau einen anderen Weg gehen will und definitiv eine
andere Konfiguration durchführen möchte als Du.

> Beispiel: Warum kann ich nicht einfach aus einer Liste von Zertifikaten
> eines oder mehrere markieren und dann auswählen "Diese(s) Zertifikat(e)
> verlängern"? Nötig wäre ab da eigentlich nur noch die Eingabe/auswahl
> des Enddatums und die Eingabe des Passwortes des CA-Zertifikats.

Dies ist aus meiner sicht problemlos möglich. Gebe den Namen
eines bestehenden Zertifikats ein und es wird automatisch auf eine
existierende CSR-Datei zurück gegriffen die Du sofort signieren
kannst.

> Viellöeicht unterschätze ich das Ganze total, und es gib einen
> ernsthaften Grund, warum bei der Zertifikatserstellung die Punkte 10 bis
> 17 einzeln ablaufen (können), wenn es sowieso nur eine sinnvolle
> Reihenfolge gibt.

Die Frage zeigt mir, dass Du dich noch nicht tiefergehend mit dem Thema
auseinander gesetzt hast. Wie ich oben schrieb ist es nicht notwendig
alle Schritte immer wieder zu durchlaufen. Wenn Du auf Basis eines
existierenden CSR ein neues selbst signiertes Zertifikat erstellen
willst, kannst Du bei Schritt 12 beginnen.
Wenn Du aber ein CSR von einer anderen CA signieren lassen willst,
endet die erste Aktivität bei Schritt 11.
Auch ist die Schritte 14-16 sind nur dann notwendig wenn Du diese
Funktion benötigst. Warum solltest Du Schritt 14 ausführen, wenn
Du ein erstelltes Zertifikat auf einen anderen Server kopieren willst.
Warum solltest Du Schritt 15 ausführen, wenn Du kein PKCS#12-Dokument
erstellen willst.

Beim Certs-Paket ist es wie mit dem Autofahren, Du kannst Dir eines
Kaufen wenn Du keine Ahnung von dem Autofahren und der zu Grunde
liegenden Technik hast. Der PKW abstrahiert die Technik und stellt
Dir Lenkrad, Gaspedal und Bremse zur Verfügung. Wenn Du aber keine
Ahnung vom Autofahren selbst hast wird es Dir nicht helfen denn das
Fahrzeug wird sich nicht wie gewünscht von der Stelle bewegen.

> Momentan ist z.B. mein defekter, nicht signierter Schlüssel für den
> Webserver nicht auswählbar, wenn ich im Menü 2 drücke, wenn ich aber
> dann aber auswähle "n" für neu, und dann den Namen eingebe, scheint
> die Software sich zu erinnern, dass es so einen Schlüssel schonmal
> gegeben hat, und präsentiert mir Schritte 10 und 11 als erledigt und 12
> als zu tun.

Der Menüpunkt 2 dient der Auswahl eines Zertifikates und nicht eines
Schlüssels. Wenn keines vorhanden ist kann keines ausgewählt werden.
Da Du aber schon einmal einen Schlüsseldatei und einen CSR erstellt
hast ist es vollkommen korrekt, dass diese Dateien wiedergefunden
werden, da Du sonst wieder neu erzeugen bzw. die Daten neu eingeben
müsstest.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org