Computerline NOC Blog » erneuern http://blog.computerline.ch Network Operations Center (Datacenter Zürich) Thu, 02 Feb 2012 14:24:34 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 SSL Zertifikat in der LAMP Umgebung erstellen http://blog.computerline.ch/2009/12/ssl-zertifikat-in-der-lamp-umgebung-erstellen/ http://blog.computerline.ch/2009/12/ssl-zertifikat-in-der-lamp-umgebung-erstellen/#comments Thu, 03 Dec 2009 10:47:24 +0000 Erich Troxler http://blog.computerline.ch/?p=392 Alle (paar) Jahre wieder… muss man die SSL Zertifikate erneuern. Mit dem Apachen und Linux jedes Mal zuerst wieder alle Befehle zusammenkratzen… dabei ist es ganz einfach!

Ich musste gerade für member.computerline.ch das Zertifikat erneuern, deshalb am Beispiel von dem:

Die ersten zwei Befehle:

openssl genrsa -des3 1024 > member.computerline.ch.key

openssl req -new -key member.computerline.ch.key -out member.computerline.ch.csr

 

Danach muss man seine eigenen Daten eingeben, wie Land (CH), Firmenname, Ortschaft, etc.

“Common Name” ist das wichtigste. Dort muss man die Webseite eingeben, welche nachher per SSL erreichbar sein soll. Also z.B. member.computerline.ch

 

Das CSR kann man nun einer öffentlichen Zertifikat Registrierungsstelle geben, damit man das signierte Zertifikat erhält. Wer keine öffentliche und günstige Zertifizierungsstelle kennt, kann es auch uns mailen, damit wir es extern signieren lassen können. Das ist nicht mehr so teuer wie früher, das Zertifikat kostet noch weniger als 150 CHF für ein Jahr.

 

Von der Registrierungsstelle erhält man nun ein “.crt” und “.ca”. Diese auf dem Server speichern, am besten unter /etc/apache2/ssl.crt/NAME.crt. Analog beim .ca

 

Auch das .key File, also das erstellte “member.computerline.ch.key” muss man noch in /etc/apache/ssl.key kopieren. Danach am besten die Passphrase rausnehmen, damit der Apache beim starten nicht immer nach einem Passwort fragt:

 

openssl rsa -in member.computerline.ch.key -out member.computerline.ch.member.computerline.ch.key

 

Wer SSL schon konfiguriert hatte, kann nun den Apache-Dienst neustarten (z.B. /etc/init.d/apache2 restart) und alles sollte laufen, sofern die gleichen Dateinamen wie letztes Jahr verwendet wurden.

 

Wer SSL noch nicht konfiguriert hatte muss im VHost schauen, dass er den Port 443 verwendet und ssl global in der Apache Konfig mal eingeschalten ist.

In der VHost Konfig selbst braucht es dann nur noch diese drei Einträge:

 

# SSL Einschalten
SSLEngine on
 
# Das Zertifikat
SSLCertificateFile /etc/apache2/ssl.crt/member.computerline.ch.crt

#CA File
SSLCertificateChainFile /etc/apache2/ssl.crt/member.computerline.ch.ca

# Der Key
SSLCertificateKeyFile /etc/apache2/ssl.key/member.computerline.ch.key

 

]]> http://blog.computerline.ch/2009/12/ssl-zertifikat-in-der-lamp-umgebung-erstellen/feed/ 0