Eigenes SSL-Zertifikat

Aus schokokeks.org Wiki

Um Seiten verschlüsselt übertragen zu können, benötigt man ein SSL-Zertifikat. Das SSL-Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.

Für mehr Informationen siehe SSL-Zertifikat.

Inhaltsverzeichnis 1 Erstellen eines eigenen Zertifikats 2 Das Zertifikat signieren lassen 2.1 self-signed 2.2 Kommerzielle Anbieter 2.3 CAcert.org 3 Zertifikat entschlüsseln 4 Einrichten der Domain für das Zertifikat

Erstellen eines eigenen Zertifikats

Um ein eigenes Zertifikat zu erstellen werden die OpenSSL-Tools benötigt. Beim Erstellen ist zu beachten, dass bei der Frage nach CommonName die Domain eingetragen werden muss, für die das Zertifikat ausgestellt werden soll. Folgende Schritte sind durchzuführen:

mkdir SSL
cd SSL
# Erstellen eines privaten Schlüssels:
openssl genrsa -des3 -out privkey.pem 4096
# Erstellen des Zertifikats:
openssl req -new -key privkey.pem -out neues_Zertifikat.cert.csr

Das Zertifikat signieren lassen

Damit das Zertifikat benutzt werden kann, muss es von einer CA (certification authority) unterschrieben werden. Es besteht auch die Möglichkeit das Zertifikat selbst zu signieren.

Hier soll unser Zertifikat von einer vertrauenswürdigen CA unterzeichnet werden. Das kann entweder eine traditionelle, kommerzielle CA sein oder z.B. die freie Zertifizierungsstelle CAcert.org. Trotzdem zeigen wir, wie man es selber signiert.

self-signed

Ein so genanntes self-signed bzw. selbstsigniertes-Zertifikat ist von sich selbst unterzeichnet. Dies funktioniert folgendermaßen:

openssl x509 -req -days 365 \
    -in neues_Zertifikat.cert.csr -signkey neues_Zertifikat.cert.key \
    -out neues_Zertifikat.cert.crt

Kommerzielle Anbieter

siehe SSL-Zertifikat#Kommerzielle Anbieter.

CAcert.org

siehe SSL-Zertifikat#CAcert.org.

Zertifikat entschlüsseln

Das Zertifikat enthält einen geheimen Schlüssel, der durch ein Passwort geschützt sein kann. Damit der Server das Zertifikat ohne Passworteingabe lesen kann, muss es entschlüsselt werden:

openssl rsa -in privkey.pem -out neues_Zertifikat.cert.key

Einrichten der Domain für das Zertifikat

Das Zertifikat (*.crt) und der geheime Schlüssel (*.key) müssen nun auf dem Server hinterlegt werden. Da der unverschlüsselte geheime Schlüssel nicht unverschlüsselt per E-Mail übertragen werden sollte, ist der einfachste Weg das eigene Home-Verzeichnis auf dem Server. Legen Sie die beiden Dateien dort ab und schützen sie sie mit chmod 600 *.key *.crt vor unbefugtem Zugriff.

Die Einrichtung im Server muss von den Admins gemacht werden. Senden Sie deshalb die Dateinamen des neuen Zertifikats an root@schokokeks.org.

Alternativ können sie die Dateien natürlich auch in einer verschlüsselten diese E-Mail an die Admins senden. Den GPG-Schlüssel für root@schokokeks.org finden Sie unter: Sichere Kommunikation