Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
opensslcert [2010/02/10 10:14] bushopensslcert [2011/09/26 15:36] – [Zertifikat und privaten Schlüssel installieren] aufgeteilt bush
Zeile 1: Zeile 1:
-====== Ein Server-Zertifikat mit openSSL bearbeiten ======+====== Serverzertifikat mit openSSL bearbeiten ======
  
 Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den
Zeile 6: Zeile 6:
  
 Hintergrundinformationen dazu finden Sie in dem Dokument **[[serverzertifikat|Ein Serverzertifikat beantragen]]**. Hintergrundinformationen dazu finden Sie in dem Dokument **[[serverzertifikat|Ein Serverzertifikat beantragen]]**.
 +
 +Die Anleitung der DFN PKI: **[[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf|Anleitung zur Nutzung von OpenSSL in der DFN-PKI (PDF-Datei)]]**
 +
 +Die Anleitung des DFN CERT: **[[http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/openssl-kurzreferenz.html|OpenSSL-Kurzreferenz]]**
 +
 +
  
  
Zeile 90: Zeile 96:
 Das Antragsverfahren mit Hilfe des Web-Interface der Uni-FR CA ist beschrieben in dem Dokument Das Antragsverfahren mit Hilfe des Web-Interface der Uni-FR CA ist beschrieben in dem Dokument
  
-  * **[[Serverzertifikat beantragen]]**+  * **[[serverzertifikat|Serverzertifikat beantragen]]**
  
 \\ \\
Zeile 173: Zeile 179:
 #   both in parallel (to also allow the use of DSA ciphers, etc.) #   both in parallel (to also allow the use of DSA ciphers, etc.)
 SSLCertificateKeyFile "/var/lib/.keystore" SSLCertificateKeyFile "/var/lib/.keystore"
 +... 
 +</code>
  
 +\\
 +
 +===== Zertifikatskette bereitstellen =====
 +
 +Wenn der Server die Zertifikatskette (SSLCertificateChainFile) nicht zum Client überträgt, ist man gezwungen, dort die Zwischenzertifikate manuell zu importieren. Es ist also zu empfehlen, seinen "Kunden" diesen Service zu bieten.
 +
 +In der SSL-Konfigurationsdatei von Apache findet man dazu den Parameter "SSLCertificateChainFile".
 +
 +Speichern Sie die Zertifikatskette, die aus drei aneinander gehängten PEM-Dateien besteht an einen Platz Ihrer Wahl und lassen Sie den Parameter darauf zeigen. Erhältlich ist das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/chain.txt|ChainFile]]** auf den DFN-Webseiten der Uni FR CA.
 +
 +<code>
 #   Server Certificate Chain: #   Server Certificate Chain:
 #   Point SSLCertificateChainFile at a file containing the #   Point SSLCertificateChainFile at a file containing the
Zeile 181: Zeile 200:
 #   when the CA certificates are directly appended to the server #   when the CA certificates are directly appended to the server
 #   certificate for convinience. #   certificate for convinience.
-SSLCertificateChainFile "/var/lib/.keystore"+SSLCertificateChainFile "/var/lib/chain.pem"
 ...  ... 
 </code> </code>
- 
-Wenn Sie die Zertifikatskette (SSLCertificateChainFile) nicht ausgeben, sind die Clients gezwungen, die Zwischenzertifikate manuell zu importieren. 
-Andernfalls genügt es, wenn der Client-Speicher für vertrauenswürdige Zertifizierungsstellen das Wurzel-Zertifikat in der richtigen Vertrauensstellung enthält. 
- 
  
  

Zuletzt angesehen:

QR-Code
QR-Code Einen CSR-Requests für ein Serverzertifikat mit openSSL erstellen (erstellt für aktuelle Seite)