httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Josef Kandlhofer <Sepp.Kandlho...@gmx.net>
Subject RE: apache+ssl
Date Wed, 09 Oct 2002 17:03:46 GMT
Hm, danke für die super-Erläuterungen.

Eine prinzipielle Frage noch:

Welche Vorteile aus sicherheitstechnischer Sicht haben Zertifikate einer CA
im Gegensatz zu selbst Ausgestellten?

Kann ich mit selbst ausgestellten auch mit 128 Bit verschlüsseln?

Danke für die Hilfe!
josef


> 
> Hi,
> 
> >
> >gibt es gute, exakte Anleitungen (vielleicht deutsch) wie man am Apache
> >unter Suse Linux mit konfiguriert, damit SSL-Verbindungen aufgebaut
> werden
> >können?!
> 
> ob sie gut ist weiss ich nicht, jedoch funktioniert dies bei mir immer:
> 
> 1. Stelle sicher, dass OpenSSL installiert ist und im PATH eingetragen
> ist.
> 
> 
> 2. Erzeugen des RSA private key fuer den (virtuellen) Apache Server (wird
> Triple-DES verschluesselt und PEM formatiert):
> 
> # openssl genrsa -des3 -out my.domain.at.key 1024
> 
> <Bildschirmausgabe>
> 
> Generating RSA private key, 1024 bit long modulus
> ........++++++
> ..........................++++++
> e is 65537 (0x10001)
> Enter PEM pass phrase:  -> meinPasswort
> Verifying password - Enter PEM pass phrase:  -> meinPasswort
> 
> </Bildschirmausgabe>
> 
> 1024 ist dabei die Schluessellaenge. Irgendwo habe ich gelesen, dass
> mittlerweilen eine Schluessellaenge > 1024 Bit empfohlen wird. Habe
> kuerzlich einen 2048 Bit Schluessel erzeugt, funzt auch.
> 
> Vom erzeugten Keyfile my.domain.at.key ein Backup erstellen und die
> eingegebene pass-phrase merken! Die Details von diesem erzeugtem RSA
> private
> key siehst Du folgend:
> 
> # openssl rsa -noout -text -in my.domain.at.key
> 
> Du kannst auch eine unverschluesselte PEM Version von diesem RSA private
> key
> erzeugen, wird aber nicht empfohlen:
> 
> # openssl rsa -in my.domain.at.key -out my.domain.at.key.unsecure
> 
> 
> 3. Einen _Certificate Signing Request_ (CSR) mit dem RSA private key
> erzeugen (Ausgabe ist PEM formatiert):
> 
> # openssl req -new -key my.domain.at.key -out my.domain.at.csr
> 
> Bei der Frage _CommonName_ musst Du die URL Deiner Seite eintragen. zB.
> https://my.domain.at -> CommonName = my.domain.at.
> 
> <Bildschirmausgabe>
> 
> Using configuration from /usr/lib/ssl/openssl.cnf
> Enter PEM pass phrase:      -> meinPasswort
> You are about to be asked to enter information that will be incorporated
> into your certificate request.
> What you are about to enter is what is called a Distinguished Name or a
> DN.
> There are quite a few fields but you can leave some blank
> For some fields there will be a default value,
> If you enter '.', the field will be left blank.
> -----
> Country Name (2 letter code) [AU]:  -> AT
> State or Province Name (full name) [Some-State]:   -> Vienna
> Locality Name (eg, city) []:  -> Vienna
> Organization Name (eg, company) [Internet Widgits Pty Ltd]:  -> meineFirma
> Organizational Unit Name (eg, section) []:  -> meineAbteilung
> Common Name (eg, YOUR name) []:  -> my.domain.at
> Email Address []:  -> email@domain.at
> 
> Please enter the following 'extra' attributes
> to be sent with your certificate request
> A challenge password []:  -> zusaetzlichesPasswortZumMerken
> An optional company name []:  -> kann leer gelassen werden
> 
> </Bildschirmausgabe>
> 
> Die Details von diesem CSR kannst Du via
> 
> # openssl req -noout -text -in my.domain.at.csr
> 
> abrufen.
> 
> 
> 4. Dieses CSR nun an eine _Certifying Authorithy_ (CA) senden, oder sich
> selbst zertifizieren.
> Wenn man keine unschoenen Warnmeldungen beim Aufrufen der SSL-Site haben
> will, sollte man sich an einen kommerziellen Anbieter wenden, zB:
> 
> Versign (http://digitalid.verisign.com/server/apacheNotice.html)
> Thawte (http://www.thawte.com/certs/server/request.html)
> 
> 
> Diese bestaetigen, dass Du auch Du bist und schicken Dir das Zertifikat
> my.domain.at.crt. Das stellst dann zb. nach /etc/apache/ssl und gibst den
> Pfad in die httpd.conf ein.
> 
> 
> LG , Peter
> 
> 
> --------------------------------------------------------------------------
>                 Apache HTTP Server Mailing List "users-de" 
>       unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
>            sonstige Anfragen an users-de-help@httpd.apache.org
> --------------------------------------------------------------------------
> 

-- 
+++ GMX - Mail, Messaging & more  http://www.gmx.net +++
NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen!


Mime
View raw message