Eigenes SSL-Zertifikat
Aus schokokeks.org Wiki
Um Seiten verschlüsselt übertragen zu können, benötigt man ein SSL-Zertifikat. Das SSL-Zertifikat ist zuständig für die Verschlüsselung der Inhalte, sowie auch für die Identitäts-Beglaubigung einer Website.
Für mehr Informationen siehe SSL-Zertifikat.
Inhaltsverzeichnis |
Erstellen eines eigenen Zertifikats
Um ein eigenes Zertifikat zu erstellen werden die OpenSSL-Tools benötigt. Beim Erstellen ist zu beachten, dass bei der Frage nach CommonName die Domain eingetragen werden muss, für die das Zertifikat ausgestellt werden soll. Folgende Schritte sind durchzuführen:
mkdir SSL cd SSL # Erstellen eines privaten Schlüssels: openssl genrsa -des3 -out privkey.pem 4096 # Erstellen des Zertifikats: openssl req -new -key privkey.pem -out neues_Zertifikat.cert.csr
Das Zertifikat signieren lassen
Damit das Zertifikat benutzt werden kann, muss es von einer CA (certification authority) unterschrieben werden. Es besteht auch die Möglichkeit das Zertifikat selbst zu signieren.
Hier soll unser Zertifikat von einer vertrauenswürdigen CA unterzeichnet werden. Das kann entweder eine traditionelle, kommerzielle CA sein oder z.B. die freie Zertifizierungsstelle CAcert.org. Trotzdem zeigen wir, wie man es selber signiert.
self-signed
Ein so genanntes self-signed bzw. selbstsigniertes-Zertifikat ist von sich selbst unterzeichnet. Dies funktioniert folgendermaßen:
openssl x509 -req -days 365 \
-in neues_Zertifikat.cert.csr -signkey neues_Zertifikat.cert.key \
-out neues_Zertifikat.cert.crt
Kommerzielle Anbieter
siehe SSL-Zertifikat#Kommerzielle Anbieter.
CAcert.org
siehe SSL-Zertifikat#CAcert.org.
Zertifikat entschlüsseln
Das Zertifikat enthält einen geheimen Schlüssel, der durch ein Passwort geschützt sein kann. Damit der Server das Zertifikat ohne Passworteingabe lesen kann, muss es entschlüsselt werden:
openssl rsa -in privkey.pem -out neues_Zertifikat.cert.key
Einrichten der Domain für das Zertifikat
Das Zertifikat (*.crt) und der geheime Schlüssel (*.key) müssen nun auf dem Server hinterlegt werden. Da der unverschlüsselte geheime Schlüssel nicht unverschlüsselt per E-Mail übertragen werden sollte, ist der einfachste Weg das eigene Home-Verzeichnis auf dem Server. Legen Sie die beiden Dateien dort ab und schützen sie sie mit chmod 600 *.key *.crt vor unbefugtem Zugriff.
Die Einrichtung im Server muss von den Admins gemacht werden. Senden Sie deshalb die Dateinamen des neuen Zertifikats an root@schokokeks.org.
Alternativ können sie die Dateien natürlich auch in einer verschlüsselten diese E-Mail an die Admins senden. Den GPG-Schlüssel für root@schokokeks.org finden Sie unter: Sichere Kommunikation

