Wir melden unsere CA beim Betriebssystem an
Nun gut, woher weiss der Browser eigentlich, welche Zertifikate vertrauenswürdig sind, und welche nicht? Hier gibt es zwei Ansätze:
- Die meisten Browser (Chrome, Edge, Opera etc.) trauen dem Zertifikatspeicher von Windows und akzeptieren alle Zertifikate, die von Windows als vertrauenswürdig angesehen werden
- Firefox, zumindetest in aktuellen Inkarnationen traut ohne weitere Eingriffe ausschliesslich seinem eigenen Zertifikatsspeicher. Das war früher anders, wurde aber irgendwann geändert.
Ergo könnte man doch das selbst gebastelte Stammzertifikat ins Betriebssystem importieren. Schauen wir noch einmal den Tray Menü Manager an:
Im Tab Create and Save New Certificate fallen unten 3 Schaltflächen auf. Wir betätigen die mittlere, die mit Manage Certificate LU beschriftet ist. Ein neues Fenster öffnet den Windows Zertifikats-Manager, wo wir auf der linken Seite zu Vertauenswürdige Stammzertifikate -> Zertifikate navigieren, und dann (immer noch links) mit der rechten Maustaste klicken, und schliesslich Alle Aufgaben -> Importieren wählen.
Ein Assistent öffnet sich. Wir klicken gleich auf weiter. Es wird nach einem Dateinamen gefragt. Wir klicken auf Durchsuchen und navigieren zum Verzeichnis mit unseren Zertifikaten ...wamp64/bin/certificats/ und wählen dort unser Stammzertifikat aus. es hat die Endung .pfx. Dann starten wir den Importvorgang. Ist der Vorgang abgeschlossen, finden wir unser Zertifikat im Speicher:
Unsere Browser sollten jetzt unsere selbst gebauten Zertifikate anerkennen, und zwar alle, die wir mit dem importierten Stammzertifikat erstellt haben - zumindest während der Gültigkeitsdauer dieses Zertifikats.
Und der Firefox?
Da der Firefox von Haus aus ausschliesslich seinem eigenen Zertifikatsspeicher vertraut, weiss dieser Browser noch nichts von unserer Aktion, akzeptiert also unsere Zertifikate nicht. Das lässt sich ab FF-Version 120 leicht ändern, es genügt dazu ein einziger Klick, unter Extras -> Einstellungen -> Datenschutz & Sicherheit scrollt man runter bis zum Abschnitt Sicherheit und klickt dort unter Zertifikate auf den Eintrag Firefox erlauben, Stammzertifikate von Drittanbietern, die Sie installieren, automatisch zu vertrauen.
Damit dürfte jetzt aber tutti paletti sein, alles funktioniert wie gewünscht.