Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
opensslcert [2010/04/21 11:24] – Link korrigiert bush | opensslcert [2012/06/28 16:01] – [Zertifizierungsantrag generieren] bush | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== | + | ====== |
Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den | Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den | ||
Zeile 5: | Zeile 5: | ||
System einbauen. | System einbauen. | ||
- | Hintergrundinformationen dazu finden Sie in dem Dokument **[[serverzertifikat|Ein Serverzertifikat beantragen]]**. | + | Hintergrundinformationen dazu finden Sie in dem Dokument: **[[serverzertifikat|Serverzertifikat beantragen]]**. |
+ | |||
+ | Die Anleitung der DFN PKI: **[[https:// | ||
+ | |||
+ | Die Anleitung des DFN CERT: **[[http:// | ||
+ | |||
+ | Auf Linux-Systemen sollte openSSL grundsätzlich bereits installiert sein. | ||
+ | |||
+ | Für Windows-Systeme können Sie das Programmpaket hier herunterladen: | ||
+ | **[[http:// | ||
+ | |||
Zeile 11: | Zeile 22: | ||
Im vorliegenden Beispiel wollen wir folgendes voraussetzen: | Im vorliegenden Beispiel wollen wir folgendes voraussetzen: | ||
- | * Die Internet-Adresse des Servers sei server1.ruf.uni-freiburg.de | + | * Die Internet-Adresse des Servers sei server1.uni-freiburg.de |
* Die Abteilung ist das Rechenzentum | * Die Abteilung ist das Rechenzentum | ||
* Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei / | * Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei / | ||
Zeile 18: | Zeile 29: | ||
\\ | \\ | ||
Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden: | Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden: | ||
- | < | + | < |
Für die Uni-FR CA sind die Komponenten O und C obligatorisch: | Für die Uni-FR CA sind die Komponenten O und C obligatorisch: | ||
Zeile 25: | Zeile 36: | ||
Das OpenSSL-Kommando zur Herstellung eines Schlüsselpaares lautet folgendermaßen: | Das OpenSSL-Kommando zur Herstellung eines Schlüsselpaares lautet folgendermaßen: | ||
- | (Die Benutzer-Eingabezeilen sind in den Beispielen mit dem System-Promp ' | + | (Die Benutzer-Eingabezeilen sind in den Beispielen mit dem System-Prompt < |
< | < | ||
Zeile 58: | Zeile 69: | ||
[ req_distinguished_name ] | [ req_distinguished_name ] | ||
C = DE | C = DE | ||
+ | ST = Baden-Wuerttemberg | ||
+ | L = Freiburg | ||
O = Universitaet Freiburg | O = Universitaet Freiburg | ||
OU = Rechenzentrum | OU = Rechenzentrum | ||
Zeile 173: | Zeile 186: | ||
# both in parallel (to also allow the use of DSA ciphers, etc.) | # both in parallel (to also allow the use of DSA ciphers, etc.) | ||
SSLCertificateKeyFile "/ | SSLCertificateKeyFile "/ | ||
+ | ... | ||
+ | </ | ||
+ | \\ | ||
+ | |||
+ | ===== Zertifikatskette bereitstellen ===== | ||
+ | |||
+ | Wenn der Server die Zertifikatskette (SSLCertificateChainFile) nicht zum Client überträgt, | ||
+ | |||
+ | In der SSL-Konfigurationsdatei von Apache findet man dazu den Parameter " | ||
+ | |||
+ | Speichern Sie die Zertifikatskette, | ||
+ | |||
+ | < | ||
# | # | ||
# Point SSLCertificateChainFile at a file containing the | # Point SSLCertificateChainFile at a file containing the | ||
Zeile 181: | Zeile 207: | ||
# when the CA certificates are directly appended to the server | # when the CA certificates are directly appended to the server | ||
# | # | ||
- | SSLCertificateChainFile "/ | + | SSLCertificateChainFile "/ |
... | ... | ||
</ | </ | ||
- | |||
- | Wenn Sie die Zertifikatskette (SSLCertificateChainFile) nicht ausgeben, sind die Clients gezwungen, die Zwischenzertifikate manuell zu importieren. | ||
- | Andernfalls genügt es, wenn der Client-Speicher für vertrauenswürdige Zertifizierungsstellen das Wurzel-Zertifikat in der richtigen Vertrauensstellung enthält. | ||
- | |||
Zeile 199: | Zeile 221: | ||
{{tag> | {{tag> | ||
+ |