httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "Thomas Hilbert" <newsgr...@lordskeletor.de>
Subject Re: Apache SSL
Date Tue, 15 Mar 2005 06:09:35 GMT
Hallo Silvio,

wie Frank das beschreibt kommt es der Realität schon sehr Nahe.
Mit Hilfe von OpenSSL (o.ä.) wird erst das Schlüsselpaar (Public-
und Private-Key) und dann ein Request für eine Zertifizierung
generiert (die .csr).
Den Zeritifizierungsrequest schickst du an deine CA, welche dir
(natürlich gegen entsprechende viel zu hohe Zahlung) ein Zertifikat
ausstellt, welches sie dir entweder in Form einer .crt-Datei, oder
in einer Mail als reinen Text übermittelt (der Text ohne deinen
Private Key ist wertlos, wodurch das kein Sicherheitsproblem
darstellt).
Dieser Text steht zwischen
-----BEGIN CERTIFICATE-----
und
-----END CERTIFICATE-----
-Tags und kann (zusammen mit den Tags!) einfach in eine Textdatei
kopiert werden, welche du daraufhin auf deinzertifikat.crt umbenennst.

Apache benötigt zum Laufen nun sowohl das Schlüsselpaar (die
.key-Datei) und das Zertifikat (die .crt-Datei):

(in Apache 2.0.50, Windows)
SSLEngine On
SSLCertificateFile /pfad/deinzertifikat.crt
SSLCertificateKeyFile /pfad/deinzertifikat.key

Zu beachten ist noch der Passwortschutz des .key-Files.
Apache braucht dieses Kennwort (das du beim Erzeugen des
Key-Pairs angegeben hast) beim Startup, das heißt, du musst
das Kennwort für jeden Key bei jedem Startup manuell eingeben.
Wenn du es kannst, kannst du dir jedoch eine kleine Anwendung
schreiben, welche dir diese Arbeit abnimmt:

SSLPassPhraseDialog exec:/pfad/anwendung.exe

Diese anwendung.exe wird für jedes Zertifikat einmal von Apache
aufgerufen und nach dem entsprechenden Passwort befragt, welches
diese dann liefert.
Näheres dazu solltest du im Internet finden können, oft bieten CAs
auch eine detailliert Anleitung für die Installation ihrer Zertifikate mit
gängigen HTTP-Servern.


Gruß,

Thomas


----- Original Message ----- 
From: "Frank Thommen" <fthommen@inf.ethz.ch>
To: <users-de@httpd.apache.org>
Sent: Tuesday, March 15, 2005 12:02 AM
Subject: Re: Apache SSL


> Hallo Silvio,
>
>> Also habe ich bei der psw.net ein Zertifikat bestellt,
>> und wie folgt eingerichtet.
>> <>
>> openssl genrsa -des3 -out hserverbiz.key 1024
>> openssl genrsa -out hserverbiz.key 1024
>> openssl req -new -key hserverbiz.key -out hserverbiz.csr
>> </>
>>
>> Danach habe ich den Inhalt des mir geschickten Zertifikates
>> in das csr kopiert. Leider startet der Apache-SSL nicht mehr.
>>
>> /var/log/apache/
>> [Mon Mar 14 23:03:02 2005] [crit] Error reading server certificate
>> file /etc/apache/hserverbiz.csr
>> [Mon Mar 14 23:03:02 2005] [crit] error:0906D06C:PEM routines:
>> PEM_read_bio:no start line
>>
>> Folgendes habe ich bekommen:
>> Eine Textdatei mit den Zertifikat, eine Startssl.csr das war es.
>
> Das *.csr ist soweit ich weiss ein Certificate Signing Request, also
> erst die Anfrage an die CA (psw.net) um eine Zertifizierung Deines
> privaten Keys (hserverbiz.key).  Von der CA muesstest Du ein Zertifikat
> zurueckerhalten (vermutlich die Textdatei, die Du erwaehnst).  Es sollte
> das verschluesselte Zertifikat (zwischen '-----BEGIN CERTIFICATE-----'
> und '-----END CERTIFICATE-----' enthalten).  Dieses File zusammen mit
> einem File, wo Dein persoenlicher Key drin ist muesstest Du dann mit
> Apache verwenden koennen.
>
> Ich hoffe das stimmt so ungefaehr.  Ich habe den Ablauf aus den Skripten
> abgeleitet, die unsere "selbstgebrauten" Zertifikate generieren.
>
> frank
>
> -- 
> Next absence: March 21 - March 24, 2005
>
> Frank Thommen
> System Management & Support                        +41 44 63 27208
> Inst. of Computational Science ETH            fthommen@inf.ethz.ch
> ETH Zentrum / HRS, CH-8092 Zuerich       www.inf.ethz.ch/~fthommen
>
> --------------------------------------------------------------------------
>                Apache HTTP Server Mailing List "users-de"
>      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
>           sonstige Anfragen an users-de-help@httpd.apache.org
> --------------------------------------------------------------------------
> 


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message