Apache Friends Support Forum

[Wiedmann]

Hi Marc,

dann versuch ich es halt auch mal

speicher folgende Datei als "makecert.bat" im Verzeichnis "\xampp\apache\bin":

Code: Select all

@echo off
set OPENSSL_CONF=C:/xampp/apache/bin/openssl.cnf
mkdir ..\conf\ssl.crt >nul 2<&1
mkdir ..\conf\ssl.key >nul 2<&1
openssl req -new -out server.csr
openssl rsa -in privkey.pem -out server.key
openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365
set OPENSSL_CONF=
del .rnd
del privkey.pem
del server.csr
move /y server.crt ..\conf\ssl.crt
move /y server.key ..\conf\ssl.key

Den Pfad "C:/xampp/apache/bin/openssl.cnf" in Zeile 2 entsprechend anpassen!

Batch-Datei ausführen (am besten in der Eingabeaufforderung).

Bei Fragen nach "pass phrase" und "challenge password" jeweils das selbe Passwort eingeben (wird anschließend nicht mehr benötigt).

Bei (fast) allen anderen Fragen kann du angeben was du willst, oder einen Punkt ".".

NUR:
Bei "Common Name" muß der ServerName (DNS-Name) von deinem Server hin.

Server neu starten.

[marc75]

danke für die Antwort,

bis hier komme ich:

Bei Fragen nach "pass phrase" und "challenge password" jeweils das selbe Passwort eingeben (wird anschließend nicht mehr benötigt).

gebe zweimal das gleiche Passwort ein und erhalte:

Verify failure
Enter PEM pass phrase

[sbmman]

Hallo,

ich bin eben nach der Anleitung vorgegangen und das hat soweit geklappt, allerdings meldet der IE noch ein ungültiges Zertifikat. Kann man da was machen?

Er sagt daß das Zertifikat nicht vertrauenswürdig sei.

[Wiedmann]

allerdings meldet der IE noch ein ungültiges Zertifikat

Welcher der drei Punkte ist nicht in Ordung?

[sbmman]

Mir ist nicht ganz klar Du meinst...

This CA Root certificate is not trusted because it is not in the Trusted Root Certification Authorities store

[Wiedmann]

Du hast einen englischen IE?

Aber egal. Sobald du auf die Seite mit "https://" gehst, kommt doch der Dialog. Da hat jetzt der erste Punkt ein gelbes Ausrufezeichen mit deinem Text, und die beiden Nächsten einen grünen Haken.

Die Meldung spricht aber auch schon für sich.... Das Zertifikat ist soweit i.O, aber der IE kennt den Austeller nicht. Geh jetzt einfach auf "Zertifikat anzeigen" und dann "Zertifikat installieren". Der IE wird dann das Zertifikat automatisch in den richtigen Speicher "vertrauenswürdige Stammzertifizierungsstellen" reintun. Und damit bist du als Aussteller bekannt.

[sbmman]

ja, hab nen komplett englisches system... patches etc. sind früher verfügbar.

ok, das mit dem Installieren ist ne Möglichkeit. Kann man das irgendwie umgehen?

[Wiedmann]

Kann man das irgendwie umgehen?

Ja. Man holt sich ein Zertifikat von einer CA, die dem IE bereits bekannt ist...


(Schonmal über den Sinn und Technik der Zertifizierung nachgedacht?)

[sbmman]

ja natürlich, der Sinn ist schon klar. Ich habe nun alle Tests abgeschlossen, soweit passt es mit der selbst erstellten.
Wir gehe ich nun vor, wenn ich ein offizielles Zertifikat installieren möchte.

[mdg-webmaster]

hmmm,

Aber egal. Sobald du auf die Seite mit "https://" gehst, kommt doch der Dialog. Da hat jetzt der erste Punkt ein gelbes Ausrufezeichen mit deinem Text, und die beiden Nächsten einen grünen Haken.

Bei mir ist der Letzte Punkt auch mit einem Ausrufezeichen. Warum das? Ich ahbe jetzt schon 3 mal ein Zertifikat erstellt und der letzte Punkt bleibt immer ein Ausrufezeichen, das der Name mit der Seite nicht übereinstimmt.

Kann mir da einer helfen?

mdg-webmaster

[Wiedmann]

Ist eigentlich auch selbsterklärend...

Welchen "Common Name" hast du bei der Zertifikatserstellung angegeben und mit welcher URL rufst du die Seite auf?

[mdg-webmaster]

https://ssl.mdg-webmaster.cjb.net und das steht auch im Zertifikat. Sieh selbst. Finde ich komsich...

mdg-webmaster

[Wiedmann]

Der ServerName ist : "ssl.mdg-webmaster.cjb.net"
Der CN im Zertifikat ist: "https://ssl.mdg-webmaster.cjb.net"

--> Da ist ein "https://" zuviel.

[mdg-webmaster]

axo, man darf also im Zertifikat kein https:// davor setzen. Ok, ich werde das jetzt nochmal machen. Danke.

mdg-webmaster

[Wiedmann]

Zitat aus diesem Thread:

Bei "Common Name" muß der ServerName (DNS-Name) von deinem Server hin.

Und "https://" (das benutze Protokoll für den Zugriff) gehört nicht zu einem DNS-Eintrag. Oder hast z.B: sowas, mit dem davor, schonmal anpingen können?