Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
opensslcert [2023/01/10 15:40] – [Schlüsselpaar generieren] rwelte | opensslcert [2023/01/13 12:44] (aktuell) – nw75 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Serverzertifikat mit openSSL | + | ====== |
Zeile 6: | Zeile 6: | ||
Für Windows-Systeme können Sie das Programmpaket hier herunterladen: | Für Windows-Systeme können Sie das Programmpaket hier herunterladen: | ||
**[[http:// | **[[http:// | ||
- | |||
Zeile 116: | Zeile 115: | ||
</ | </ | ||
- | Die Datei server1.csr können Sie im Web-Interface der Uni-FR CA | ||
- | |||
- | **[[https:// | ||
- | |||
- | |||
- | direkt über die Schaltfläche **Durchsuchen** hochladen lassen. | ||
- | |||
- | |||
- | Das Antragsverfahren mit Hilfe des Web-Interface der Uni-FR CA ist beschrieben in dem Dokument | ||
- | |||
- | * **[[serverzertifikat|Serverzertifikat beantragen]]** | ||
\\ | \\ | ||
- | ===== Zertifikat und privaten Schlüssel installieren ===== | ||
- | |||
- | Sobald Sie das Serverzertifikat von der Uni-FR CA per Mail erhalten haben, speichern Sie die PEM-formatierte Datei des Attachements ab, z.B. unter dem Namen **server1.pem**. | ||
- | |||
- | Außerdem speichern Sie das **[[https:// | ||
- | |||
- | **Sie finden eine aktuellere Version der Zertifikatskette** **[[https:// | ||
- | |||
- | Die Installation des Zertifikates hängt von den Anforderungen des Dienstes ab, für den es beantragt wurde. | ||
- | |||
- | Im vorliegenden **Beispiel** soll gezeigt werden, wie das Zertifikat für **Jakarta Tomcat** zugänglich gemacht wird. | ||
- | |||
- | Als erstes importieren Sie die drei Zertifikate der Zertifikatskette in die keystore-Datei: | ||
- | |||
- | < | ||
- | ohne Passwortschutz: | ||
- | $ cat g_deutsche-telekom-root-ca-2.crt >>/ | ||
- | $ cat g_dfn_intermediatecert.crt >>/ | ||
- | $ cat g_unifrcacert.crt >>/ | ||
- | $ cat server1.pem >>/ | ||
- | |||
- | mit Passwortschutz (bei bisher ungeschütztem .keystore): | ||
- | $ cat g_deutsche-telekom-root-ca-2.crt >>/ | ||
- | $ cat g_dfn_intermediatecert.crt >>/ | ||
- | $ cat g_unifrcacert.crt >>/ | ||
- | $ cat server1.pem >>/ | ||
- | $ cat / | ||
- | enter des-ede3-cbc encryption password: ***** | ||
- | Verifying - enter des-ede3-cbc encryption password: ***** | ||
- | |||
- | mit Passwortschutz (bei bisher geschütztem .keystore): | ||
- | $ openssl enc -d -des3 -in / | ||
- | enter des-ede3-cbc decryption password: ***** | ||
- | $ cat g_deutsche-telekom-root-ca-2.crt >>/ | ||
- | $ cat g_dfn_intermediatecert.crt >>/ | ||
- | $ cat g_unifrcacert.crt >>/ | ||
- | $ cat server1.pem >> | ||
- | $ openssl enc -e -des3 -in tempstore -out / | ||
- | enter des-ede3-cbc encryption password: ***** | ||
- | Verifying - enter des-ede3-cbc encryption password: ***** | ||
- | $ rm tempstore | ||
- | </ | ||
- | <note warning> | ||
- | </ | ||
- | <note tip> | ||
- | |||
- | Nun teilen Sie **tomcat** in der Datei **server.xml** im **conf**-Verzeichnis mit, wo das Server-Zertifikat zu finden ist. | ||
- | Falls Sie den Zertifikatsspeicher mit einem Passwort geschützt haben, müssen Sie dieses hier im Klartext (!) eingeben. | ||
- | |||
- | < | ||
- | ... | ||
- | <!-- Define a SSL HTTP/1.1 Connector on port 443 --> | ||
- | < | ||
- | | ||
- | | ||
- | | ||
- | | ||
- | | ||
- | | ||
- | ... | ||
- | </ | ||
- | Das keystore-Password wurde mit ' | ||
- | In diesem Fall ist also die Schlüsseldatei mit einem Passwort geschützt.\\ | ||
- | **Sie müssen aber nun dafür sorgen, dass die Datei server.xml mit dem Klartextpasswort nicht von unbefugten gelesen werden kann.** | ||
- | \\ | ||
- | Falls Sie den **Apache Webserver** mit mod_ssl einsetzen, tragen Sie die Keystore-Datei wie sie im obigen Beispiel hergestellt wurde, nach folgendem Schema in die Konfigurationsdatei **httpd-ssl.conf** ein: | ||
- | |||
- | < | ||
- | ... | ||
- | # | ||
- | # Point SSLCertificateFile at a PEM encoded certificate. | ||
- | # the certificate is encrypted, then you will be prompted for a | ||
- | # pass phrase. | ||
- | # in mind that if you have both an RSA and a DSA certificate you | ||
- | # can configure both in parallel (to also allow the use of DSA | ||
- | # | ||
- | SSLCertificateFile "/ | ||
- | |||
- | # | ||
- | # If the key is not combined with the certificate, | ||
- | # | ||
- | # | ||
- | # both in parallel (to also allow the use of DSA ciphers, etc.) | ||
- | SSLCertificateKeyFile "/ | ||
- | ... | ||
- | </ | ||
- | |||
- | \\ | ||
- | |||
- | ===== Zertifikatskette bereitstellen ===== | ||
- | |||
- | Wenn der Server die Zertifikatskette (SSLCertificateChainFile) nicht zum Client überträgt, | ||
- | |||
- | In der SSL-Konfigurationsdatei von Apache findet man dazu den Parameter " | ||
- | |||
- | Speichern Sie die Zertifikatskette, | ||
- | |||
- | < | ||
- | # | ||
- | # Point SSLCertificateChainFile at a file containing the | ||
- | # | ||
- | # | ||
- | # the referenced file can be the same as SSLCertificateFile | ||
- | # when the CA certificates are directly appended to the server | ||
- | # | ||
- | SSLCertificateChainFile "/ | ||
- | ... | ||
- | </ | ||
- | |||
- | |||
- | Normalerweise müssen Sie die Anwendungen anschließend neu starten, damit die Konfiguration wirksam wird und das Zertifikat verwendet werden kann. | ||
- | |||
- | \\ | ||
- | |||
- | ===== Literatur ===== | ||
- | |||
- | * http:// | ||
- | * http:// | ||
- | * http:// | ||
- | * http:// | ||
- | * http:// | ||
- | |||
- | \\ | ||
- | \\ | ||
- | \\ | ||
- | {{tag> | + | {{tag> |