Apache Friends Support Forum

[bigmac]

Hallo Zusammen!

Ich habe ein Problem. Wie kann ich Zertifikate für den Server ud den Zertifizierer selbst erstellen, denn die benötige ich ja für die SSL-Verbindung.

Danke.

Grüße Marco

[Oswald]

Hallo Marco!

Zwei Schritte:

1. Server Key erstellen mit: /opt/lampp/bin/openssl genrsa 1024 > /opt/lampp/etc/ssl.key/server.key

2. Diesen Key signieren: /opt/lampp/bin/openssl req -new -x509 -key /opt/lampp/etc/ssl.key/server.key -out /opt/lampp/etc/ssl.crt/server.crt


Das war's!

Bei "Common name" im zweiten Schritt kommt übrigens die Adresse rein unter der Dein Apache erreichbar ist: also z. B. "www.apachefriends.org"

Viel Erfolg,
Oswald

[Mirko]

Hallo Kai

kannst Du vielleicht kurz erklären wie beide Teile Zertifikat & Key zusammenspielen?

Ich hatte das Problem, das ich aus Versehen den alten Key hab liegen lassen wo er war und dann wollte der Apache nicht mehr starten, da ein "Problem mit dem Zertifikat / Key" bestand.

Problem ist zwar gelöst, jedoch verstehe ich nicht ganz genau wie dieser Mechanismus zur Verifizierung funktioniert.

Ein guter Link würde auch schon reichen.

Danke Schön
Gruß aus Potsdam

[Oswald]

Huhu Mirko,

kurzer Erklärungsversuch meinerseits (einen Link zu suchen und zu finden, dauert bestimmt länger!)

Der Key ist eine eindeutige Zahl (sehr groß), die nur du bzw. dein Server kennt. Das Zertifikat ist nun eine Bestätigung dieser Zahl. Normalerweise und nur so macht es auch tatsächlich Sinn muss jemand anders deinen Key bestätigen: die sog. CA, Certification Authority. Das kostest aber Geld. Deshalb hat man auch die Möglichkeit seinen Key selbst zu bestätigen (auch genannt signieren bzw. unterschreiben). Das ist zwar sicherheitstechnisch Quatsch, aber ein Key muß immer signiert sein. So ist das System.

Hoffe, dass war jetzt verständlich

Gruß,
Oswald

[mckinley]

hat das zertifikat eigentlich einen einfluss auf die geschwindikeit vom server?

und könnte mir mal das genau erklären wei ich eine Secure Leitung mache? ohne geld auszu geben.

[Oswald]

Huhu mckinley!

Gewiss wird ein HTTPS-Zugriff auf Deinen Server langsamer sein als ein normaler HTTPD-Zugriff. Schliesslich müssen die Daten noch verschlüsselt werden. Ich schätze aber mal das ist unter normalen Umständen wirklich vernachlässigbar.

Was meinst Du mit "Secure Leitung"?

Gruß,
Oswald

[mckinley]

mir is das wort SSL nicht eingefallen. darum Secure *g* *nichthauen*

[Oswald]

Huhu mckinley.

Ahh... nun versteh ich! Nun versteh ich auch den Nachsatz mit dem "ohne Geld ausgeben".

Grundsätzlich: Ob du einen selbst-signierten oder einen von der CA signierten Key hast spielt für die Geschwindigkeit Deines Servers keine Rolle. Das ist Jacke wie Hose (wie man so schön sagt).

Grüße,
Oswald

[bigmac]

Hallo Oswald

Erst einmal Danke für die Infos, aber ich habe gleich noch eine frage
dazu. Wenn ich nun vrituelle Server hoste, reicht es dann beim erstellen den Namen des Key-Files zu ändern? Und nun habe ich ja schon meine CA, reicht es dann, wenn ich beim Signieren der Key-Files das -new weglasse, aber natürlich den richtigen Key angebe?

Grüße Marco

[Oswald]

Huhu Marco!

Knifflige Fragen. Also:

1. Wenn Du SSL/HTTPS benutzten möchtest, dann muss jeder Virtuelle Server eine eigene IP-Adresse haben. Sogenannte name-based virtual hosts die alle auf einer IP-Adresse laufen, können kein HTTPS.

2. Jeder Server (auch Virtuelle) braucht einen eigenen Server-Key. Praktisch kann dieser Key zwar auch immer wieder der gleiche sein, aber richtig konfiguriert ist das nicht. Schließlich ist der Key die Grundlage der Verschlüsselung und wenn Du schon verschlüsselst, dann willst Du ja auch Sicherheit haben.

3. Das -new sagt ja nur, dass du einen Key neu "unterschreibst" (signierst).

Jeder Server also einen Key und jeder Key muss für sich signiert werden.

Es ist ein echt kniffliges Thema. Ich hoffe trotzdem ich konnte es einigermassen verständlich machen.

Liebe Grüße,
Oswald

[bigmac]

Hallo Oswald,

Soweit war mir das schon klar. Aber kann ich nicht auch ein Zertifikat für eine CA erstellen, damit ich anschließend mit deren Key den Serverkey unterschrieben kann, um 100% sicher zu gehen, das ich immmer die "gleiche Unterschrift" unter meinen Servekeys habe?

Grüße marco

[Oswald]

Huhu Marco!

Da haben wir dann wohl ein bisschen aneinander vorbei geredet.

Also Du sprichst jetzt wirklich von einer CA? Also nicht von einem selbszertifiziertem Key sondern von einem CA-zertifiziertem?

Eine CA wird Deinen Server-Key signieren. Dann kannst Du mit diesem Zertifikat keine anderen Keys unterschreiben.

In der CA-Zertifizierung steht aber auch noch Dein Server-Name drin. D. h. Du kannst auch aus diesem Grund diese Zertifizierung nicht für einen anderen Server verwenden.

Oder reden wir immer noch aneinander vorbei?

Trotzdem liebe Grüße,
Oswald

[bigmac]

hallo Oswald,

anscheinend reden wir wieder aneinander vorbei, jedenfalls zum teil. Ich möchte selbst zur CA für meine Server werden. Mit diesen Zertifikat meiner eigenen CA möchte ich dann meine Serverkeys unterschreiben.

Ich hoffe, Du weißt jetzt was ich meine.

Grüße Marco

[deep]

hi bigmac,

lies dich mal hier ein / sehr informativ >> http://www.dfn-pca.de/certify/ssl/mehr.html

was oswald meinte ist wohl: CA bleibt die offizielle zertifizierung (Top Level CA) - deine selbst-zertifizierten schlüssel haben demnach also eine interne abwicklung, die mit TL-CA dann nix zu tun haben müssen (ich denke, so ist es wohl - man berichtige mich ruhig...)

gruss
deep

[Oswald]

Ahh... jetzt fallen die Pfennige.. äh.. Cents...

Du willst eine ganz eigene CA erstellen. Klar geht das und mit deren Zertifikat kannst Du dann auch Deine Keys zertifizieren. Aber auch mit dem Zertifikat kannst Du nicht einfach so Deine Keys zertifizieren, sonder musst auch dabei dann immer wieder für jedes signieren noch den Server-Namen und die anderen Details mit eintippen.

Ob Du nun selbstzertifizierst oder über Deine eigene CA zertifizierst, der Aufwand ist leider immer der selbe.

Grüße,
Oswald