Pasci's WebsiteAnzeige
Du bist als Gast auf dieser Site (fresh)
Suche in nach Mittwoch, 18. Juli 2018 
My SiteWeb-DesignGame-SessionGalleryLinksDownloadsTippsMitgliederbereichHilfe/Impressum

 My Site
» Aktuell (Top 10)
   » Top 20
   » History 2011
   » History 2010
   » History 2009
   » History 2008
   » History 2007
   » History 2006
   » History 2005
   » History 2004
   » History 2003
» Gästebuch
» Banner-Werbung
» Über mich
» Sitemap

 Site-Statistik
Neuzugänge
keine neuen Einträge
Updates
keine geänderten Einträge

Einträge insgesamt
Bilder702
Downloads99
Links91
Tipps15

 
 ein SSL-Apache-Server-Zertifikat erstellen
Diese Anleitung gilt ausschliesslich für Intranet-, Administrations- oder Entwicklungsserver. Die Erstellung einer CA (Certifying Authority) ist in einer produktiven Umgebung kein Thema. Die Signierung eines öffentlichen Servers erfolgt durch eine entsprechende Firma (CA) wie beispielsweise Verisign.

Nachfolgende Schritte dienen der Erstellung eines Server-Zertifikates für einen Apache-Webserver. Ob sich das Zertifikat auch anderstweitig nutzen lässt (IIS, etc.) ist mir nicht bekannt.

Basis ist ein Linux-System mit einem aktuellen OpenSSL-Paket oder ein Windows-System mit einer Windows OpenSSL-Version. Die nachfolgende Beschreibung nimmt jedoch KEINEN Bezug zur Windows-Version und geht ausschliesslich von der Linux-Konsole aus.

Teil 1 - Server-Zertifikat erstellen

  1. Vergewissere Dich, dass openssl im Suchpfad geführt und von überall aufrufbar ist.
  2. Wechsle in das Zielverzeichnis, worin das Zertifikat gespeichert bzw. abgelegt werden soll. Ein Unterverzeichnis wäre noch sinnvoll und bewahrt die Übersicht. Ich habe ein Unterverzeichnis mit dem Namen ssl angelegt.
    # cd /etc/apache2/ssl
  3. Erstelle den RSA Private Key für den Apache-Server:
    # openssl genrsa -des3 -out server.pass.key 1024
    Du wirst nach einem pass phrase für server.pass.key (einem Passwort) gefragt. Es sollte nicht zu kurz gewählt sein.

    Wichtig:
    Unbedingt den pass phrase merken! Dieser wird in späteren Schritten immer wieder benötigt.
  4. Erstelle nun einen sogenannten Certificate Signing Request (CSR). Dieser stellt die Signierungsanforderung für die CA dar (gilt für selbst signierte wie auch von Drittfirmen signierte Zertifikate).
    # openssl req -new -key server.pass.key -out server.csr
    Du wirst bei diesem Vorgang bereits nach Deinem zuvor vergebenen pass phrase gefragt. Anschliessend werden weitere Information abgefragt (Werte in Klammern sind Beispiele):
    Country Name: (CH)
    State or Province Name: (Aargau)
    Locality Name: (Umiken)
    Organization Name/Company: (pasci.ch)
    Organizational Unit Name: (Intranet)
    Common Name: (admin.training.pasci.ch)
    Email Address: (webmaster@xy.ch)
    
    A challenge password: ()
    An optional company name: ()
    
    WICHTIG
    Du musst beim Feld Common Name unbedingt den kompletten bzw. vollqualifizierte Servernamen angegeben. Ansonsten wird das spätere Zertifikat nicht richtig funktionieren!

    Du kannst die Daten des erstellten CSR wie folgt am Bildschirm ausgeben:
    # openssl req -noout -text -in server.csr
  5. Um das neu erstellte Zertifikat später problemlos mit dem Apache-Webserver nutzen zu können, sollte der Passphrase aus dem Zertifikat entfernt werden, ansonsten wird stets beim (Neu-)Starten des Webservers nach diesem Passphrase gefragt.
    # openssl rsa -in server.pass.key -out server.key

Teil 2 - eigene Certifying Authority (CA) erstellen

  1. Erstelle den RSA Private Key für Dein CA
    # openssl genrsa -des3 -out ca.key 1024
    Du wirst auch wieder nach einem pass phrase gefragt, den wir auch anschliessend wieder benötigen. Dieser sollte vorzugsweise anderst lauten als jener für den RSA Private Key... muss aber nicht.
  2. Erstelle ein selbstsigniertes CA Zertifikat (X509 Struktur) mit dem zuvor generierten RSA Private Key. Die Ausgabe bzw. die neue Datei ca.crt wird PEM-formatiert sein.
    # openssl req -new -x509 -days 365 -key ca.key -out ca.crt
  3. Nun benötigen wir den Script sign.sh, der unser Server-Zertifikat aus dem gerade erstellten CA-Zertifikat generiert. Der Script sowie eine Anleitung ist unter dem Artikel sign.sh-Skript abrufbar.

Die Einbindung des Zertifikates sowie die Konfiguration der httpd.conf bzw. ssl.conf Datei, erfährst Du im Artikel Server-Zertifikat in Apache 2.x einbinden.


Erstellt durch Pasci am 03.04.2004 - Aktualisiert am 02.04.2008 - Aufrufe: 6193


 
 Top 10
Downloads
5591In the jungle, the mighty ju...
2126GPL GhostScript 9.14
2126GPL GhostScript 9.14
1626Yeti (Game)
1593Drum Machine
1565Raymond and his love for che...
15647-Zip 9.20
15647-Zip 9.20
1435In the rough
1388OpenTTD 1.4.2

Links
5945Radferien Mallorca
5718Live for Speed
4752SpeedTest
3657Schulthess Engineering
3586Dell Latitude D630c: V...
3436Dell XPS M1730: Vista-...
3375IEEE Registration Auth...
3255Weiterbildung.ch
3227ATI Radeon Real-Time-D...
3082openSUSE.org

 Anmeldung
Name:
Passwort:

Mitglied-Registrierung
Infos für Nicht-Mitglieder

© Copyright 2002-2018 Pascal Künzli, Wohlen (Schweiz) - pk_cms v1.0 RC5
Seite wurde innert 0.262 Sekunden generiert.