Donnerstag, 13. September 2007

Howto: Apache2 - SSL Zertifikat erstellen und aktivieren

HTTPS ohne ein teueres Zertifikat

Ich habe kürzlich einen Apache Webserver mit einer SSL-Verschlüssung via HTTPS ausgestattet. Da dieser kein (teuer) signiertes SSL-Zertifkat braucht habe ich selbst eines erstellt. Das ganze kommt mit weniger als 10 Bash-Befehlen aus.

Eigenes SSL-Zertifikat erstellen

Einn eigenes Zertifikat zu erstellen geht rasch, ohne beispielsweise bei VeriSign eines zu kaufen zu müssen. Die Openssl-Tools sollten eigentlich mit jeder Standarddistribution ausgeliefert sein.

Wichtig Hinweis zur Zertifikatserstellung

Bei der Frage zum Common Name (eg, YOUR name) den Hostnamen der SSL-Website eintragen, beispielsweise (ohne die Anführungszeichen) "www.entwickler-blog.de".

Download Code!

  1.  
  2. mkdir /etc/apache2/myssl
  3. cd /etc/apache2/myssl
  4. openssl req -new > server.cert.csr
  5. openssl rsa -in privkey.pem -out server.cert.key
  6. openssl x509 -in server.cert.csr -out server.cert.crt  -req -signkey server.cert.key -days 365
  7. nano /etc/apache2/ports.conf
  8. nano /etc/apache2/httpd.conf
  9. a2enmod ssl
  10. /etc/init.d/apache2 force-reload
  11.  

Datei /etc/apache2/httpd.conf hinzufügen

Download Code!

  1.  
  2. <VirtualHost ******:443>
  3.  ServerName ******
  4.  SSLEngine on
  5.  SSLCertificateKeyFile /etc/apache2/myssl/server.cert.key
  6.  SSLCertificateFile /etc/apache2/myssl/server.cert.crt
  7. </VirtualHost>
  8.  
(**** durch IP oder Domainnamen erstetzen.)

Datei /etc/apache2/ports.conf hinzufügen

Listen 443

Erklärung der Schritte

Download Code!

  1.  
  2. # Verzeichnis erstellen
  3. mkdir /etc/apache2/myssl
  4. # Wechseln in das erstellte Verzeichnis
  5. cd /etc/apache2/myssl
  6. # Neues .csr File geniereren
  7. openssl req -new > server.cert.csr
  8. # Schlüssel erzeugen
  9. openssl rsa -in privkey.pem -out server.cert.key
  10. # Öffentliches Zertifikat für die Dauer von 365 Tagen erstellen
  11. openssl x509 -in server.cert.csr -out server.cert.crt  -req -signkey server.cert.key -days 365
  12. # Editoraufruf der ports.conf
  13. nano /etc/apache2/ports.conf
  14. # Editoraufruf der httpd.conf
  15. nano /etc/apache2/httpd.conf
  16. # Den Apache-Mod SSL aktivieren
  17. a2enmod ssl
  18. /etc/init.d/apache2 force-reload
  19.  

Bewertung: 4.83 von 5, 6 Stimme(n) 56856 Klicks
Von Mr.Foo in Netzwerk am 13.09.07@09:23 Uhr

Trackbacks
Trackback für spezifische URI dieses Eintrags

SSL aufm Server einrichten
Hab bei mir aufm Server folgende Notiz gefunden:CA Key erstellen, wenn nicht vorhanden (mit default passphrase):openssl genrsa -des3 -out ca.passphrase.key 1024CA Key erstellen ohne passphrase für postfixopenssl genrsa -out ca.key 1024CSR erstellen:openss
Weblog: Why does everything need a title?
Aufgenommen: Dez 12, 23:13

19 Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

tex - #1 - 13.09.2007 18:31 - (Antwort)

Naja, also wenn schon kein "richtiges" Zertifikat, dann kann man sich doch wenigstens eines bei CAcert.org besorgen.

Mr. Foo - #1.1 - 13.09.2007 20:33 - (Antwort)

Hehe ich wusste, dass das kommt ^^ - eigentlich wollte ich das ja noch einfügen, aber jetzt bist ja du da :-)

Maik - #2 - 10.06.2008 12:23 - (Antwort)

könnten die einzelnen Befehlszeilen auch noch erklärt werden? Das wär klasse

Mr. Foo - #2.1 - 12.06.2008 14:00 - (Antwort)

Hi Maik,

reicht dir die Erklärung oben? Oder willst du etwas genaues zu einem bestimmten Befehl wissen?

Calaelen - #3 - 12.06.2008 15:05 - (Antwort)

Gleich mal gebookmart, danke für die Erläuterungen :-)

hanno - #4 - 13.08.2008 21:21 - (Antwort)

hallo, klasse tut!

wäre noch gut wenn du noch schreibst wie man die einzelnen dämonen(zb myadmin) so konfigueriert, dass sie nur über htpps://... erreichbar sind.

grüße
hanno

Dirmhirn - #5 - 29.08.2008 15:44 - (Antwort)

HI!

Super Anleitung - Danke!

Wie kann ich denn das Zertifikat zB im IE installieren, dass er nicht jedesmal fragt?

lg Dirm

K.Reichert - #5.1 - 11.09.2008 18:27 - (Antwort)

Indem du dir ein Certifikat z.B. von VeriSign holst.

Rolf Winterscheidt - #5.1.1 - 29.12.2008 16:49 - (Antwort)

Quark! Wenn Du ein kostenfreies Zertifkat von CAcert holst, kannst Du von deren Website bequem das Root-Zertifkat für diese Zertifizierungsstelle in Deinem Browser installieren. Fertig.

MHölle - #6 - 26.03.2009 18:24 - (Antwort)

naja, für eine Linux-Newbie ist das mal wieder viel zu kurz.

Eine etwas ausführlichere Erklärung, damit man auch kapiert was den da getrieben wird, findet man hier:

http://www.linux-praxis.de/lpic2/lpi202/2.208.2.html

Mr. Foo - #6.1 - 26.03.2009 18:42 - (Antwort)

Danke schön :-)

Susi Ledermueller - #7 - 29.06.2009 19:49 - (Antwort)

Hallo! Super Text. Für alle zur Info. Ein selbst signiertes Zertifikat unterscheidet sich in der Sicherheit nicht von einem anderen Zertifikat hinsichtlich der Verschlüsselung. Es bietet genau den gleichen Standard und Schutz wie ein gekauftes Zertifikat. Das einzige was anderes ist, ist der Hinweis mit dem Fehler im IE, das es ein unsicheres Zertifikat ist ... weil ... selbst signiert, was hinsichtlich der Verschluesselung aber Bloedsinn ist.

Mrs. Bar - #7.1 - 19.04.2012 19:25 - (Antwort)

Danke für die kurz und knackige Doku.

Richtig, die Verschlüsselung sollte funktionieren.

Allerdings fehlt die Bestätigung des Zertifikats durch eine vertrauenswürdige Stelle.

Womit z.B. Man In The Middle Angriffe denkbar sind.

from scratch - #8 - 06.01.2010 09:03 - (Antwort)

Und wenn man keine Ahnung hat... Fr...e halten angesagt.

Wenn man ein selbst signiertes CRT nun auch noch als Stammzertstelle in Windumm hinterlegt.. tauch keinerlei Fehlermeldung auf. Soviel zum Thema. Dazu einfach mal das CRT der-kodieren und importieren.

more infos: ST(F)W

Mr. Foo - #8.1 - 07.01.2010 12:27 - (Antwort)

Hi scratch,

bitte sei in Zukunft ein wenig gemässigter - auch wenns dich ärgert :-)

from scratch - #8.1.1 - 08.01.2010 10:44 - (Antwort)

Ja, tut mir auch ein wenig leid.

Nur sollte man eben doch schon eine komplette Doku niederschreiben - und nicht solche halbfertigen Sachen publizieren.
Und noch schlimmer - Kommentare abgeben, die nicht wahr sind.

from scratch - #8.1.2 - 08.01.2010 10:59 - (Antwort)

Nachtrag:

Nicht das deine Doku nix taugt. Sie behandelt ja auch nur das Erstellen und Einbinden der CRTs. Mit halbfertig meine ich - man sollte eben auch darauf eingehen, wie sich die Systeme verhalten und was man machen kann - die diese CRTs verwenden werden.

Dazu gehört eben auch, dass man für die verschiedenen (win) Systeme die CRTs im richtigen Format bereit stellt. Notfalls als direkter Download.

Klaus - #9 - 03.04.2012 13:06 - (Antwort)

die scheisse geht ned da kommt immer
"Unable to make a secure connection to the server. This may be a problem with the server, or it may be requiring a client authentication certificate that you don't have"
im internetbrowser.

Mr.Foo - #9.1 - 03.04.2012 16:12 - (Antwort)

Hast du beim Apache auch den SSL-Port aktiviert?


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden