In der heutigen Zeit wird eine sichere Übertragung der Daten immer wichtiger. Deshalb setzen imm mehr Administratoren auf die SSL Verschlüsselung. Hier ein kleines Tutorial wie man bei Debian einen SSL Key, ein Signing Request und das dazugehörige Zertifikat erstellt.


Loggt euch auf eurem Webserver ein und installiert zuerst OpenSSL mit:
apt-get install openssl

Danach machen wir uns gleich Erstellung des SSL Keys.
/etc/apache2/ssl:# openssl genrsa -out knaupes.key 1024

Anschließend wird mit diesem Key ein Signing Request generiert. Dieses enthält den Domainname, Email-Adresse, Firmeninformationen usw. Dieser Request kann dann an eine Zertifizierungsstelle gesendet werden und man erhält dann ein Zertifikat.


/etc/apache2/ssl:# openssl req -new -key knaupes.key -out knaupes.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:BAWUE
Locality Name (eg, city) []:Aalen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:zes systems
Organizational Unit Name (eg, section) []:.
Common Name (eg, YOUR name) []:www.knaupes.net
Email Address []:info@zes-systems.de

Please enter the following ‚extra‘ attributes
to be sent with your certificate request
A challenge password []:.
An optional company name []:.
/etc/apache2/ssl:#

Als letztes muss das Zertifikat noch signiert werden. Da wir kein Geld ausgeben wollen, signieren wir das Zertifikat kurzer Hand von selbst:

/etc/apache2/ssl:# openssl x509 -req -days 365 -in knaupes.csr -signkey knaupes.key -out knaupes.crt

Dann muss der Server noch in Kenntnis gesetzt werden, dass er nun ein SSL Zertifikat benutzen soll. Hierzu muss man zuerst den mod_ssl des apache2 aktivieren.

/etc/apache2/mods-available:# a2enmod ssl

Und zum Schluss muss man dann dem Virtual Host noch sagen wo die SSL Zertifikate liegen und dass die SSL Engine angeschaltet werden soll. Im Apache ändert man die entsprechende Seite in sites-available und fügt hinzu:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/knaupes.crt
SSLCertificateKeyFile /etc/apache2/ssl/knaupes.key

Wenn man dann per https auf die Seite geht bekommt man diese „Fehler“:


Hier beschweren sich die Browser, dass das Zertifikat selbst signiert wurde. Ist ja auch kein Wunder, das haben wir ja gemacht. Um diese „Fehler“ zu beseitigen muss man sich ein richtiges Zertifikat holen bei dem die Identität geprüft wurde. Solche gibt es zum Beispiel bei www.psw.net.

  2 Antworten zu “Tutorial – SSL Zertifikat selbst erstellen und signieren”

  1. […] Diese Anleitung gehört zum Content von knaupes.net […]

  2. Um den Fehler zu beseitigen, gehört das CA Zertifikat in den Speicher für „Stamm Zertifizierungsstellen“ im jeweiligen Browser.

 Antworten

   
Impressum Suffusion theme by Sayontan Sinha