[Eisfair] CERTS aus ?==?utf-8?Q?User-Sicht

[Christian Treczoks]

Juergen Edner schrieb am Do, 08 Dezember 2016 16:43
> leider sind Programme und Konfigurationen so flexibel, dass es immer
> einen Anwender gibt der garantiert wieder einen ganz anderen Zugang
> zum Thema hat als Du.

Ja. und für diesen einen kann man das vorhandene Interface ja lassen.
Aber für die anderen 99, für die das CERTS-Paket ein notwendiger, aber
schmerzvoller Schritt auf dem Weg zum Webserer ist, solltest Du wirklich
mal über einen anderen Approach nachdenken. Ich weiß, dass das Thema
Zertifikate, Schlüssel und Signaturen ein hochkomplexes ist, aber genau
deshalb sollte es so Idiotensicher wie möglich sein.

Juergen Edner schrieb am Do, 08 Dezember 2016 16:43
> Leider gehören nun einmal Schlüssel und Zertifikatsdateien genauso
> zum Betrieb eines Servers und dem Sicherstellen des Zugangs dazu, wie
> die Konfiguration der Anwendungen. Je weiter ich diese Informationen
> unter der Haube verstecke, desto fahrlässiger wird aus meiner Sicht
> mit dem Thema umgegangen.

Genau da bin ich der entgegengesetzten Meinung. Obwohl das CERTS-System
durch die Menüführung schon den schmerzhafteren Aspekt aus dem ganzen
openssl-Kommandokeilen-Durcheinander herausnimmt, ist es für die große
Mehrheit immer noch viel zu kompliziert.

Juergen Edner schrieb am Do, 08 Dezember 2016 16:43
> Bei der letztmaligen Überarbeitung der Oberfläche habe ich schon
> versucht einen Anwender durch die notwendigen Konfigurationsschritte
> zur Erstellung eines Zertifikates zu führen. Leider werde ich es aber
> nie schaffen ein so mächtiges Tool wie das OpenSSL-Programm
> gleichzeitig einfach und auch flexibel zu gestalten.

Für das Flexibel kannst Du ja immer noch das late Interface beibehalten
(und ggf. an ein paar Stellen bedienerfreundlicher machen, indem Du mit
den Default-Werten anders umgehst.

Aber für Einfach könnte man ja mal eine Umfrage im Forum machen, was
die Leute mit dem CERTS-Tool eigentlich mehrheitlich machen, und für
diese Use-Cases Wizards schreiben. Die darunterliegenden Funktionen sind
ja alle da.

Juergen Edner schrieb am Do, 08 Dezember 2016 16:43
> Gebe den Namen eines bestehenden Zertifikats ein und es wird
> automatisch auf eine existierende CSR-Datei zurück gegriffen die Du
> sofort signieren kannst.

Hier schon mal die Möglichkeit für eine einfache Verbesserung: Warum
muss ich den Namen eingeben? Wäre es nicht möglich, einfach auf die
Liste bestehender CSR-Dateien zuzugreifen? "Wähle CSR-Datei 1-22, n
für neu, q für quit".

Juergen Edner schrieb am Do, 08 Dezember 2016 16:43
> Die Frage zeigt mir, dass Du dich noch nicht tiefergehend mit dem
> Thema auseinander gesetzt hast.

Ja, tatsächlich, ich habe keinen Studiengang in OpenSSL belegt. Die
idee hinter Eisfair ist aber auch, dass ich nicht Experte in allen
Details sein muss, "nur" um einen Server aufzusetzen. Ich konzentriere
mich auf die für mich wichtigen Punkte, aber nicht darauf, eine Samba-
oder Apache-Konfig von null hochzuziehen und bei jedem Pups-Update
nachzudrehen. Oder mich mit den tausenden kunstvollen Möglichkeiten
herumzuschlagen, die ein OpenSSL-Zertifikat theoretisch bietet. 

Juergen Edner schrieb am Do, 08 Dezember 2016 16:43
> Wie ich oben schrieb ist es nicht notwendig alle Schritte immer
> wieder zu durchlaufen. Wenn Du auf Basis eines existierenden CSR ein
> neues selbst signiertes Zertifikat erstellen willst, kannst Du bei
> Schritt 12 beginnen.
> Wenn Du aber ein CSR von einer anderen CA signieren lassen willst,
> endet die erste Aktivität bei Schritt 11.
> Auch ist die Schritte 14-16 sind nur dann notwendig wenn Du diese
> Funktion benötigst. Warum solltest Du Schritt 14 ausführen, wenn Du
> ein erstelltes Zertifikat auf einen anderen Server kopieren willst.
> Warum solltest Du Schritt 15 ausführen, wenn Du kein
> PKCS#12-Dokument erstellen willst.

Genau da sollte ein Wizard einen unterstützen. Das Verfahren sollte
sein "Menüpunkt 'Neues Zertifikat erstellen' -> 'CSR auswählen oder
neu'" und nicht "Da muss ich jetzt Menüpunkt x auswählen und drei
Dinge eingeben, dann Punkt y, dann Punkt q und nochmal zwei andere Dinge
eingeben". Das ist zwar überspitzt ausgedrückt, aber ich denke, für
die Mehrheit ist das sehr nahe an der Realität.
Und was den Schritt 15 betrifft: Wie viele Leute, die ihre Zertifikate
auf dem Eisfair verwalten, brauchen tasächlich ein PKCS#12-Dokument
für einen Nicht-Apache-Webserver? Und selbst wenn man diese Option
anbietet - was ja OK ist - könnte z.B. bei einer Verlängerung des
Zertifikates das Script einfach nachsehen, ob eine solche Datei schon
mal erstellt wurde, und dann einfach fragen, ob es den Schritt gleich
mit erledigen soll.

Juergen Edner schrieb am Do, 08 Dezember 2016 16:43
> Beim Certs-Paket ist es wie mit dem Autofahren, Du kannst Dir eines
> Kaufen wenn Du keine Ahnung von dem Autofahren und der zu Grunde
> liegenden Technik hast. Der PKW abstrahiert die Technik und stellt Dir
> Lenkrad, Gaspedal und Bremse zur Verfügung. Wenn Du aber keine Ahnung
> vom Autofahren selbst hast wird es Dir nicht helfen denn das Fahrzeug
> wird sich nicht wie gewünscht von der Stelle bewegen.

Leider erinnert mich gerade das CERTS-Paket da eher an den LANZ
Bulldogg, wo ich vor dem Starten eine Lötlampe unter den Motorblock
stellen muss, bevor ich das Schwungrad anwerfe. 

Juergen Edner schrieb am Do, 08 Dezember 2016 16:43
> Der Menüpunkt 2 dient der Auswahl eines Zertifikates und nicht
> eines
> Schlüssels.

Sorry, da war ich in der Hast ungenau. Aber ich wette, für 90% der
Benutzer Deines Tools ist diese Unterscheidung sowieso zu hoch und
gefühlt irrelevant. Die wollen nur fertig werden damit und raus aus dem
CERTS.
Ich finde es gut, dass man mit dem CERTS alles machen kann, was man auch
für die abstrusesten Sonderfälle benötigt, aber es geht an der
Realität der meisten User einfach vorbei.

Juergen Edner schrieb am Do, 08 Dezember 2016 16:43
> Wenn keines vorhanden ist kann keines ausgewählt werden.
> Da Du aber schon einmal einen Schlüsseldatei und einen CSR
> erstellt
> hast ist es vollkommen korrekt, dass diese Dateien wiedergefunden
> werden, da Du sonst wieder neu erzeugen bzw. die Daten neu eingeben
> müsstest.

Das ist richtig, aber warum taucht es in der Auswahlliste nicht auf? Und
jetzt sag nicht, dass sei, weil es noch nicht fertig ist. Für mich als
User ist die (.key+.csr)-Kombo ein 'Zertifikat-Objekt' mit dem Status
"unfertig" oder "unsigniert", während ein (.crt|.cer|.pem)-File ein
Zertifikat mit dem Status "Gültig bis" oder "Abgelaufen seit" ist, und
ich würde alle diese Fälle in einer Auswahlmöglichkeitz erwarten.

Ich weiß nicht, wie viel Zeit ich in diese Thema investieren sollte.
Wenn Du wirklich interessiert und willig bist, an dem Interface zu
arbeiten, würde ich glatt die Zeit investieren, um die Innereien der
Zertifikate-Welt besser zu verstehen, und Dir dann ein paar Pointer aus
einer unverbrauchten Perspektive zu geben, aber im Moment hörst Du Dich
leider nicht so an, als würdest Du von der vorhandenen Struktur
wirklich abweichen wollen, sondern verteidigst den Status Quo mit mehr
Vehemenz, als m.E. gut ist.

Christian