SSL Zertifikate von CaCert.org

5. März 2008 | ...von: admin | Anleitungen, Debian, Linux Distributionen, Sicherheit, Ubuntu, eee pc

Eigene Zertifikate kann man bei CaCert.org
Signieren.

Als erstes einen Signing Request generieren :

openssl req -newkey rsa:1024 -subj /CN=www.hostname.de -nodes -keyout www.hostname.de.pem -out www.hostname.de.csr.pem

www.hostname.de.csr.pem ist dann der CertificateSigningRequest und www.hostname.pem der PrivateKey

mehrere virtuelle Hosts über ein SSL Zertifikat nutzen:

Anleitung nach CaCert-Vhost-Apache
shellscript csr runterladen alle SSL Domänen eingeben danach bekommt man einen Signing Request
den fügt man bei Cacert ein und bekommt das Zertifikat was man sich abspeichert.

die Apachekonfiguration sieht dann wie folgt aus:

NameVirtualHost 192.168.1.1:443
<virtualhost hostname.de:443>
# SSL (START)
 SSLEngine on
SSLCertificateFile /etc/apache2/ssl/hostname_cert.pem
 SSLCertificateKeyFile /etc/apache2/ssl/hostname_privatekey.pem
 SSLCertificateChainFile /etc/apache2/ssl/CAcert_chain.pem
 SSLCipherSuite HIGH
 SSLProtocol all -SSLv2
# SSL (ENDE)
ServerAdmin webmaster@hostname.de
ServerName www.hostname.de
 ServerAlias hostname.de
 DocumentRoot /var/www.hostname.de/
<directory "/var/www.hostname.de/">
AllowOverride None
 Order Deny,Allow
 Allow from all
 </directory>
</virtualhost>

Zertifikat im DER Format (z.B. für Mobiltelefone) erstellen:

openssl x509 -in ssl/hostname_cert.pem -out hostname_cert.crt -outform DER

Die Zertifikate auch für Imap (Courier Imapd – bei Courier Pop3d kann genauso verfahren werden) benutzen:

(bei dem Courier Mailserver müssen Zertifikat, Schlüssel und Diffie-Hellmann-Parameter in eine Datei gepackt werden s.u.) 

mv /etc/courier/imapd.pem /etc/courier/imapd.pem.old
cd /etc/courier

openssl gendh >imapd.pem

cat /etc/apache2/ssl/hostname_cert.pem >>imapd.pem
cat /etc/ssl/private/hostname_privatekey.pem >>imapd.pem

Weiterführende Dokumentation:

CaCert Wiki, [1]

blog.sodge.org , [1]

syscp wiki

howtoforge.de

Tags: , , , , , , , , ,

3 comments
Kommentieren »

  1. sodgeblog März 18th, 2008 22:52

    Zertifikatskette im Apache einbauen…

    Hier noch ein aktueller Zusatz zum letzten CAcert-Artikel: Beim Erzeugen eines neuen Serverzertifikats mit mehr Hostnamen ist mir eine Option im CAcert-Webinterface aufgefallen. Man hat die Wahl zwischen Sign by class 1 root certificate und Sign by cla…

  2. admin März 26th, 2008 10:41

    Ich habe den Link unter weiterführende Links in den Artikel eingebaut – danke für den Hinweis – bert

  3. Alpha Release » Blog Archive » Wordpress mit Admin SSL und CAcert absichern Mai 11th, 2008 19:18

    [...] hab ich unter anderem hier und hier [...]

Kommentieren

Yandex Mail.ru Google LiveJournal myOpenId Flickr claimId Blogger Wordpress OpenID Yahoo Technorati Vidoop Verisign AOL