Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
opensslcert [2010/04/21 11:24] – Link korrigiert bushopensslcert [2012/06/28 16:05] – [Schlüsselpaar generieren] bush
Zeile 1: Zeile 1:
-====== Server-Zertifikat mit openSSL bearbeiten ======+====== Serverzertifikat mit openSSL bearbeiten ======
  
 Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den Auf dieser Seite zeigen wir Ihnen, wie Sie mit openSSL ein Schlüsselpaar generieren, den
Zeile 5: Zeile 5:
 System einbauen. System einbauen.
  
-Hintergrundinformationen dazu finden Sie in dem Dokument **[[serverzertifikat|Ein Serverzertifikat beantragen]]**.+Hintergrundinformationen dazu finden Sie in dem Dokument**[[serverzertifikat|Serverzertifikat beantragen]]**. 
 + 
 +Die Anleitung der DFN PKI: **[[https://www.pki.dfn.de/fileadmin/PKI/anleitungen/Anleitung_Nutzung_OpenSSL.pdf|Anleitung zur Nutzung von OpenSSL in der DFN-PKI (PDF-Datei)]]** 
 + 
 +Die Anleitung des DFN CERT: **[[http://www.dfn-cert.de/informationen/themen/verschluesselung_und_pki/openssl-kurzreferenz.html|OpenSSL-Kurzreferenz]]** 
 + 
 +Auf Linux-Systemen sollte openSSL grundsätzlich bereits installiert sein. 
 + 
 +Für Windows-Systeme können Sie das Programmpaket hier herunterladen:  
 +**[[http://www.slproweb.com/products/Win32OpenSSL.html]]** 
 + 
  
  
Zeile 11: Zeile 22:
  
 Im vorliegenden Beispiel wollen wir folgendes voraussetzen: Im vorliegenden Beispiel wollen wir folgendes voraussetzen:
-  * Die Internet-Adresse des Servers sei server1.ruf.uni-freiburg.de+  * Die Internet-Adresse des Servers sei server1.uni-freiburg.de
   * Die Abteilung ist das Rechenzentum   * Die Abteilung ist das Rechenzentum
   * Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei /var/lib/.keystore\\ (unter Windows üblicherweise C:\Dokumente und Einstellungen\(Benutzername)\.keystore)   * Der Schlüsselbund zur Aufbewahrung der eigenen Schlüssel sei /var/lib/.keystore\\ (unter Windows üblicherweise C:\Dokumente und Einstellungen\(Benutzername)\.keystore)
Zeile 18: Zeile 29:
 \\  \\ 
 Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden: Es soll hier ein Schlüsselpaar inclusive einem selbstsignierten Zertifikat mit folgendem eindeutigen Name erzeugt werden:
-<code>DN: CN=server1.ruf.uni-freiburg.de,OU=Rechenzentrum,O=Universitaet Freiburg,C=DE</code>+<code>DN: CN=server1.uni-freiburg.de,OU=Rechenzentrum,O=Universitaet Freiburg,L=Freiburg,ST=Baden-Wuerttemberg,C=DE</code>
  
-Für die Uni-FR CA sind die Komponenten O und C obligatorisch: **O=Universitaet Freiburg,C=DE**.\\ +Für die Uni-FR CA sind die Komponenten O und C obligatorisch: **O=Universitaet Freiburg,L=Freiburg,ST=Baden-Wuerttemberg,C=DE**.\\ 
 Das Element OU kann auch mehrfach auftreten, falls Sie z.B. verschiedene Unterabteilungen im DN nicht nur durch den CN des Servers kenntlich machen wollen. Das Element OU kann auch mehrfach auftreten, falls Sie z.B. verschiedene Unterabteilungen im DN nicht nur durch den CN des Servers kenntlich machen wollen.
  
  
 Das OpenSSL-Kommando zur Herstellung eines Schlüsselpaares lautet folgendermaßen:\\ Das OpenSSL-Kommando zur Herstellung eines Schlüsselpaares lautet folgendermaßen:\\
-(Die Benutzer-Eingabezeilen sind in den Beispielen mit dem System-Promp '$' gekennzeichnet)+(Die Benutzer-Eingabezeilen sind in den Beispielen mit dem System-Prompt <html>'$'</html> gekennzeichnet)
  
 <code> <code>
Zeile 58: Zeile 69:
 [ req_distinguished_name ] [ req_distinguished_name ]
 C                      = DE C                      = DE
 +ST                     = Baden-Wuerttemberg
 +L                      = Freiburg
 O                      = Universitaet Freiburg O                      = Universitaet Freiburg
 OU                     = Rechenzentrum OU                     = Rechenzentrum
Zeile 173: Zeile 186:
 #   both in parallel (to also allow the use of DSA ciphers, etc.) #   both in parallel (to also allow the use of DSA ciphers, etc.)
 SSLCertificateKeyFile "/var/lib/.keystore" SSLCertificateKeyFile "/var/lib/.keystore"
 +... 
 +</code>
  
 +\\
 +
 +===== Zertifikatskette bereitstellen =====
 +
 +Wenn der Server die Zertifikatskette (SSLCertificateChainFile) nicht zum Client überträgt, ist man gezwungen, dort die Zwischenzertifikate manuell zu importieren. Es ist also zu empfehlen, seinen "Kunden" diesen Service zu bieten.
 +
 +In der SSL-Konfigurationsdatei von Apache findet man dazu den Parameter "SSLCertificateChainFile".
 +
 +Speichern Sie die Zertifikatskette, die aus drei aneinander gehängten PEM-Dateien besteht an einen Platz Ihrer Wahl und lassen Sie den Parameter darauf zeigen. Erhältlich ist das **[[https://pki.pca.dfn.de/uni-freiburg-ca/pub/cacert/chain.txt|ChainFile]]** auf den DFN-Webseiten der Uni FR CA.
 +
 +<code>
 #   Server Certificate Chain: #   Server Certificate Chain:
 #   Point SSLCertificateChainFile at a file containing the #   Point SSLCertificateChainFile at a file containing the
Zeile 181: Zeile 207:
 #   when the CA certificates are directly appended to the server #   when the CA certificates are directly appended to the server
 #   certificate for convinience. #   certificate for convinience.
-SSLCertificateChainFile "/var/lib/.keystore"+SSLCertificateChainFile "/var/lib/chain.pem"
 ...  ... 
 </code> </code>
- 
-Wenn Sie die Zertifikatskette (SSLCertificateChainFile) nicht ausgeben, sind die Clients gezwungen, die Zwischenzertifikate manuell zu importieren. 
-Andernfalls genügt es, wenn der Client-Speicher für vertrauenswürdige Zertifizierungsstellen das Wurzel-Zertifikat in der richtigen Vertrauensstellung enthält. 
- 
  
  
Zeile 199: Zeile 221:
  
 {{tag>zertifikate sicherheit openssl}} {{tag>zertifikate sicherheit openssl}}
 +

Zuletzt angesehen:

QR-Code
QR-Code Einen CSR-Requests für ein Serverzertifikat mit openSSL erstellen (erstellt für aktuelle Seite)