httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "Peter Stoehr" <...@gaynet.at>
Subject RE: apache+ssl
Date Tue, 08 Oct 2002 21:31:27 GMT
>-----Original Message-----
>From: Josef Kandlhofer [mailto:office@kandlhofer.com]
>Sent: Tuesday, October 08, 2002 5:28 PM
>To: Users-De@Httpd. Apache. Org
>Subject: apache+ssl
>
>
>Hi,

Hi,

>
>gibt es gute, exakte Anleitungen (vielleicht deutsch) wie man am Apache
>unter Suse Linux mit konfiguriert, damit SSL-Verbindungen aufgebaut werden
>k├Ânnen?!

ob sie gut ist weiss ich nicht, jedoch funktioniert dies bei mir immer:

1. Stelle sicher, dass OpenSSL installiert ist und im PATH eingetragen ist.


2. Erzeugen des RSA private key fuer den (virtuellen) Apache Server (wird
Triple-DES verschluesselt und PEM formatiert):

# openssl genrsa -des3 -out my.domain.at.key 1024

<Bildschirmausgabe>

Generating RSA private key, 1024 bit long modulus
........++++++
..........................++++++
e is 65537 (0x10001)
Enter PEM pass phrase:  -> meinPasswort
Verifying password - Enter PEM pass phrase:  -> meinPasswort

</Bildschirmausgabe>

1024 ist dabei die Schluessellaenge. Irgendwo habe ich gelesen, dass
mittlerweilen eine Schluessellaenge > 1024 Bit empfohlen wird. Habe
kuerzlich einen 2048 Bit Schluessel erzeugt, funzt auch.

Vom erzeugten Keyfile my.domain.at.key ein Backup erstellen und die
eingegebene pass-phrase merken! Die Details von diesem erzeugtem RSA private
key siehst Du folgend:

# openssl rsa -noout -text -in my.domain.at.key

Du kannst auch eine unverschluesselte PEM Version von diesem RSA private key
erzeugen, wird aber nicht empfohlen:

# openssl rsa -in my.domain.at.key -out my.domain.at.key.unsecure


3. Einen _Certificate Signing Request_ (CSR) mit dem RSA private key
erzeugen (Ausgabe ist PEM formatiert):

# openssl req -new -key my.domain.at.key -out my.domain.at.csr

Bei der Frage _CommonName_ musst Du die URL Deiner Seite eintragen. zB.
https://my.domain.at -> CommonName = my.domain.at.

<Bildschirmausgabe>

Using configuration from /usr/lib/ssl/openssl.cnf
Enter PEM pass phrase:      -> meinPasswort
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:  -> AT
State or Province Name (full name) [Some-State]:   -> Vienna
Locality Name (eg, city) []:  -> Vienna
Organization Name (eg, company) [Internet Widgits Pty Ltd]:  -> meineFirma
Organizational Unit Name (eg, section) []:  -> meineAbteilung
Common Name (eg, YOUR name) []:  -> my.domain.at
Email Address []:  -> email@domain.at

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:  -> zusaetzlichesPasswortZumMerken
An optional company name []:  -> kann leer gelassen werden

</Bildschirmausgabe>

Die Details von diesem CSR kannst Du via

# openssl req -noout -text -in my.domain.at.csr

abrufen.


4. Dieses CSR nun an eine _Certifying Authorithy_ (CA) senden, oder sich
selbst zertifizieren.
Wenn man keine unschoenen Warnmeldungen beim Aufrufen der SSL-Site haben
will, sollte man sich an einen kommerziellen Anbieter wenden, zB:

Versign (http://digitalid.verisign.com/server/apacheNotice.html)
Thawte (http://www.thawte.com/certs/server/request.html)


Diese bestaetigen, dass Du auch Du bist und schicken Dir das Zertifikat
my.domain.at.crt. Das stellst dann zb. nach /etc/apache/ssl und gibst den
Pfad in die httpd.conf ein.


LG , Peter


Mime
View raw message