Zertifikate

Irgendwelche Probleme mit XAMPP für Linux? Dann ist hier genau der richtige Ort um nachzufragen.

Zertifikate

Postby bigmac » 11. January 2003 14:55

Hallo Zusammen!

Ich habe ein Problem. Wie kann ich Zertifikate für den Server ud den Zertifizierer selbst erstellen, denn die benötige ich ja für die SSL-Verbindung.

Danke.

Grüße Marco
bigmac
 
Posts: 13
Joined: 11. January 2003 14:40

Postby Oswald » 11. January 2003 19:48

Hallo Marco!

Zwei Schritte:

1. Server Key erstellen mit: /opt/lampp/bin/openssl genrsa 1024 > /opt/lampp/etc/ssl.key/server.key

2. Diesen Key signieren: /opt/lampp/bin/openssl req -new -x509 -key /opt/lampp/etc/ssl.key/server.key -out /opt/lampp/etc/ssl.crt/server.crt


Das war's! ;)

Bei "Common name" im zweiten Schritt kommt übrigens die Adresse rein unter der Dein Apache erreichbar ist: also z. B. "www.apachefriends.org"

Viel Erfolg,
Oswald ;)
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby Mirko » 13. January 2003 10:02

Hallo Kai

kannst Du vielleicht kurz erklären wie beide Teile Zertifikat & Key zusammenspielen?

Ich hatte das Problem, das ich aus Versehen den alten Key hab liegen lassen wo er war und dann wollte der Apache nicht mehr starten, da ein "Problem mit dem Zertifikat / Key" bestand.

Problem ist zwar gelöst, jedoch verstehe ich nicht ganz genau wie dieser Mechanismus zur Verifizierung funktioniert.

Ein guter Link würde auch schon reichen.

Danke Schön
Gruß aus Potsdam
Mirko
 

Postby Oswald » 13. January 2003 10:36

Huhu Mirko,

kurzer Erklärungsversuch meinerseits (einen Link zu suchen und zu finden, dauert bestimmt länger!) ;)

Der Key ist eine eindeutige Zahl (sehr groß), die nur du bzw. dein Server kennt. Das Zertifikat ist nun eine Bestätigung dieser Zahl. Normalerweise und nur so macht es auch tatsächlich Sinn muss jemand anders deinen Key bestätigen: die sog. CA, Certification Authority. Das kostest aber Geld. Deshalb hat man auch die Möglichkeit seinen Key selbst zu bestätigen (auch genannt signieren bzw. unterschreiben). Das ist zwar sicherheitstechnisch Quatsch, aber ein Key muß immer signiert sein. So ist das System.

Hoffe, dass war jetzt verständlich ;)

Gruß,
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

re:

Postby mckinley » 13. January 2003 20:45

hat das zertifikat eigentlich einen einfluss auf die geschwindikeit vom server?

und könnte mir mal das genau erklären wei ich eine Secure Leitung mache? ohne geld auszu geben.
User avatar
mckinley
 
Posts: 48
Joined: 04. January 2003 17:18
Location: /root

Postby Oswald » 13. January 2003 22:57

Huhu mckinley!

Gewiss wird ein HTTPS-Zugriff auf Deinen Server langsamer sein als ein normaler HTTPD-Zugriff. Schliesslich müssen die Daten noch verschlüsselt werden. Ich schätze aber mal das ist unter normalen Umständen wirklich vernachlässigbar.

Was meinst Du mit "Secure Leitung"?

Gruß,
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby mckinley » 13. January 2003 23:29

mir is das wort SSL nicht eingefallen. darum Secure *g* *nichthauen* :)
User avatar
mckinley
 
Posts: 48
Joined: 04. January 2003 17:18
Location: /root

Postby Oswald » 14. January 2003 09:21

Huhu mckinley.

Ahh... nun versteh ich! ;) Nun versteh ich auch den Nachsatz mit dem "ohne Geld ausgeben".

Grundsätzlich: Ob du einen selbst-signierten oder einen von der CA signierten Key hast spielt für die Geschwindigkeit Deines Servers keine Rolle. Das ist Jacke wie Hose (wie man so schön sagt). ;)

Grüße,
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

andere Serevr

Postby bigmac » 15. January 2003 10:58

Hallo Oswald

Erst einmal Danke für die Infos, aber ich habe gleich noch eine frage
dazu. Wenn ich nun vrituelle Server hoste, reicht es dann beim erstellen den Namen des Key-Files zu ändern? Und nun habe ich ja schon meine CA, reicht es dann, wenn ich beim Signieren der Key-Files das -new weglasse, aber natürlich den richtigen Key angebe?

Grüße Marco
bigmac
 
Posts: 13
Joined: 11. January 2003 14:40

Postby Oswald » 15. January 2003 11:44

Huhu Marco!

Knifflige Fragen. Also:

1. Wenn Du SSL/HTTPS benutzten möchtest, dann muss jeder Virtuelle Server eine eigene IP-Adresse haben. Sogenannte name-based virtual hosts die alle auf einer IP-Adresse laufen, können kein HTTPS.

2. Jeder Server (auch Virtuelle) braucht einen eigenen Server-Key. Praktisch kann dieser Key zwar auch immer wieder der gleiche sein, aber richtig konfiguriert ist das nicht. Schließlich ist der Key die Grundlage der Verschlüsselung und wenn Du schon verschlüsselst, dann willst Du ja auch Sicherheit haben.

3. Das -new sagt ja nur, dass du einen Key neu "unterschreibst" (signierst).

Jeder Server also einen Key und jeder Key muss für sich signiert werden.

Es ist ein echt kniffliges Thema. Ich hoffe trotzdem ich konnte es einigermassen verständlich machen. ;)

Liebe Grüße,
Oswald ;)
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby bigmac » 15. January 2003 11:50

Hallo Oswald,

Soweit war mir das schon klar. Aber kann ich nicht auch ein Zertifikat für eine CA erstellen, damit ich anschließend mit deren Key den Serverkey unterschrieben kann, um 100% sicher zu gehen, das ich immmer die "gleiche Unterschrift" unter meinen Servekeys habe?

Grüße marco
bigmac
 
Posts: 13
Joined: 11. January 2003 14:40

Postby Oswald » 15. January 2003 12:01

Huhu Marco!

Da haben wir dann wohl ein bisschen aneinander vorbei geredet. :?

Also Du sprichst jetzt wirklich von einer CA? Also nicht von einem selbszertifiziertem Key sondern von einem CA-zertifiziertem?

Eine CA wird Deinen Server-Key signieren. Dann kannst Du mit diesem Zertifikat keine anderen Keys unterschreiben.

In der CA-Zertifizierung steht aber auch noch Dein Server-Name drin. D. h. Du kannst auch aus diesem Grund diese Zertifizierung nicht für einen anderen Server verwenden.

Oder reden wir immer noch aneinander vorbei? ;)

Trotzdem liebe Grüße,
Oswald ;)
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby bigmac » 15. January 2003 12:17

hallo Oswald,

anscheinend reden wir wieder aneinander vorbei, jedenfalls zum teil. Ich möchte selbst zur CA für meine Server werden. Mit diesen Zertifikat meiner eigenen CA möchte ich dann meine Serverkeys unterschreiben.

Ich hoffe, Du weißt jetzt was ich meine.

Grüße Marco
bigmac
 
Posts: 13
Joined: 11. January 2003 14:40

Postby deep » 15. January 2003 12:56

hi bigmac,

lies dich mal hier ein / sehr informativ >> http://www.dfn-pca.de/certify/ssl/mehr.html

was oswald meinte ist wohl: CA bleibt die offizielle zertifizierung (Top Level CA) - deine selbst-zertifizierten schlüssel haben demnach also eine interne abwicklung, die mit TL-CA dann nix zu tun haben müssen (ich denke, so ist es wohl - man berichtige mich ruhig...)

gruss
deep
User avatar
deep
 
Posts: 23
Joined: 03. January 2003 16:14
Location: Cologne

Postby Oswald » 15. January 2003 13:27

Ahh... jetzt fallen die Pfennige.. äh.. Cents... ;)

Du willst eine ganz eigene CA erstellen. Klar geht das und mit deren Zertifikat kannst Du dann auch Deine Keys zertifizieren. Aber auch mit dem Zertifikat kannst Du nicht einfach so Deine Keys zertifizieren, sonder musst auch dabei dann immer wieder für jedes signieren noch den Server-Namen und die anderen Details mit eintippen.

Ob Du nun selbstzertifizierst oder über Deine eigene CA zertifizierst, der Aufwand ist leider immer der selbe.

Grüße,
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Next

Return to XAMPP für Linux

Who is online

Users browsing this forum: No registered users and 14 guests