Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
opensslcert [2010/02/10 10:14] bushopensslcert [2012/06/28 16:01] – [Zertifizierungsantrag generieren] bush
Zeile 1: Zeile 1:
-====== Ein Server-Zertifikat mit openSSL bearbeiten ======+====== Serverzertifikat mit openSSL bearbeiten ======
  
 Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den
Zeile 5: Zeile 5:
 System einbauen. System einbauen.
  
-Hintergrundinformationen dazu finden Sie in dem Dokument **[[serverzertifikat|Ein Serverzertifikat beantragen]]**.+Hintergrundinformationen dazu finden Sie in dem Dokument**[[serverzertifikat|Serverzertifikat beantragen]]**. 
 + 
 +Die Anleitung der DFN PKI: **[[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf|Anleitung zur Nutzung von OpenSSL in der DFN-PKI (PDF-Datei)]]** 
 + 
 +Die Anleitung des DFN CERT: **[[http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/openssl-kurzreferenz.html|OpenSSL-Kurzreferenz]]** 
 + 
 +Auf Linux-Systemen sollte openSSL grundsätzlich bereits installiert sein. 
 + 
 +Für Windows-Systeme können Sie das Programmpaket hier herunterladen:  
 +**[[http://www.slproweb.com/products/Win32OpenSSL.html]]** 
 + 
  
  
Zeile 11: Zeile 22:
  
 Im vorliegenden Beispiel wollen wir folgendes voraussetzen: Im vorliegenden Beispiel wollen wir folgendes voraussetzen:
-  * Die Internet-Adresse des Servers sei server1.ruf.uni-freiburg.de+  * Die Internet-Adresse des Servers sei server1.uni-freiburg.de
   * Die Abteilung ist das Rechenzentum   * Die Abteilung ist das Rechenzentum
   * Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei /var/lib/.keystore\\ (unter Windows üblicherweise C:\Dokumente und Einstellungen\(Benutzername)\.keystore)   * Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei /var/lib/.keystore\\ (unter Windows üblicherweise C:\Dokumente und Einstellungen\(Benutzername)\.keystore)
Zeile 18: Zeile 29:
 \\  \\ 
 Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden: Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden:
-<code>DN: CN=server1.ruf.uni-freiburg.de,OU=Rechenzentrum,O=Universitaet Freiburg,C=DE</code>+<code>DN: CN=server1.uni-freiburg.de,OU=Rechenzentrum,O=Universitaet Freiburg,C=DE</code>
  
 Für die Uni-FR CA sind die Komponenten O und C obligatorisch: **O=Universitaet Freiburg,C=DE**.\\  Für die Uni-FR CA sind die Komponenten O und C obligatorisch: **O=Universitaet Freiburg,C=DE**.\\ 
Zeile 25: Zeile 36:
  
 Das OpenSSL-Kommando zur Herstellung eines Schlüsselpaares lautet folgendermaßen:\\ Das OpenSSL-Kommando zur Herstellung eines Schlüsselpaares lautet folgendermaßen:\\
-(Die Benutzer-Eingabezeilen sind in den Beispielen mit dem System-Promp '$' gekennzeichnet)+(Die Benutzer-Eingabezeilen sind in den Beispielen mit dem System-Prompt <html>'$'</html> gekennzeichnet)
  
 <code> <code>
Zeile 58: Zeile 69:
 [ req_distinguished_name ] [ req_distinguished_name ]
 C                      = DE C                      = DE
 +ST                     = Baden-Wuerttemberg
 +L                      = Freiburg
 O                      = Universitaet Freiburg O                      = Universitaet Freiburg
 OU                     = Rechenzentrum OU                     = Rechenzentrum
Zeile 90: Zeile 103:
 Das Antragsverfahren mit Hilfe des Web-Interface der Uni-FR CA ist beschrieben in dem Dokument Das Antragsverfahren mit Hilfe des Web-Interface der Uni-FR CA ist beschrieben in dem Dokument
  
-  * **[[Serverzertifikat beantragen]]**+  * **[[serverzertifikat|Serverzertifikat beantragen]]**
  
 \\ \\
Zeile 173: Zeile 186:
 #   both in parallel (to also allow the use of DSA ciphers, etc.) #   both in parallel (to also allow the use of DSA ciphers, etc.)
 SSLCertificateKeyFile "/var/lib/.keystore" SSLCertificateKeyFile "/var/lib/.keystore"
 +... 
 +</code>
  
 +\\
 +
 +===== Zertifikatskette bereitstellen =====
 +
 +Wenn der Server die Zertifikatskette (SSLCertificateChainFile) nicht zum Client überträgt, ist man gezwungen, dort die Zwischenzertifikate manuell zu importieren. Es ist also zu empfehlen, seinen "Kunden" diesen Service zu bieten.
 +
 +In der SSL-Konfigurationsdatei von Apache findet man dazu den Parameter "SSLCertificateChainFile".
 +
 +Speichern Sie die Zertifikatskette, die aus drei aneinander gehängten PEM-Dateien besteht an einen Platz Ihrer Wahl und lassen Sie den Parameter darauf zeigen. Erhältlich ist das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/chain.txt|ChainFile]]** auf den DFN-Webseiten der Uni FR CA.
 +
 +<code>
 #   Server Certificate Chain: #   Server Certificate Chain:
 #   Point SSLCertificateChainFile at a file containing the #   Point SSLCertificateChainFile at a file containing the
Zeile 181: Zeile 207:
 #   when the CA certificates are directly appended to the server #   when the CA certificates are directly appended to the server
 #   certificate for convinience. #   certificate for convinience.
-SSLCertificateChainFile "/var/lib/.keystore"+SSLCertificateChainFile "/var/lib/chain.pem"
 ...  ... 
 </code> </code>
- 
-Wenn Sie die Zertifikatskette (SSLCertificateChainFile) nicht ausgeben, sind die Clients gezwungen, die Zwischenzertifikate manuell zu importieren. 
-Andernfalls genügt es, wenn der Client-Speicher für vertrauenswürdige Zertifizierungsstellen das Wurzel-Zertifikat in der richtigen Vertrauensstellung enthält. 
- 
  
  
Zeile 199: Zeile 221:
  
 {{tag>zertifikate sicherheit openssl}} {{tag>zertifikate sicherheit openssl}}
 +

Zuletzt angesehen:

QR-Code
QR-Code Einen CSR-Requests für ein Serverzertifikat mit openSSL erstellen (erstellt für aktuelle Seite)