https://oldwiki.funkfeuer.at/index.php?action=history&feed=atom&title=SSL_mit_CACertSSL mit CACert - Versionsgeschichte2026-04-04T22:41:38ZVersionsgeschichte dieser Seite in FunkFeuer WikiMediaWiki 1.22.5https://oldwiki.funkfeuer.at/index.php?title=SSL_mit_CACert&diff=13370&oldid=prevAaron: Die Seite wurde neu angelegt: „Funkfeuer verwendet oft [http://CACert.org CACert.org] als [http://en.wikipedia.org/wiki/Certificate_Authority CA]. Wir erstellt man am besten Zertifikate für CA...“2013-01-05T13:40:03Z<p>Die Seite wurde neu angelegt: „Funkfeuer verwendet oft [http://CACert.org CACert.org] als [http://en.wikipedia.org/wiki/Certificate_Authority CA]. Wir erstellt man am besten Zertifikate für CA...“</p>
<p><b>Neue Seite</b></p><div>Funkfeuer verwendet oft [http://CACert.org CACert.org] als [http://en.wikipedia.org/wiki/Certificate_Authority CA].<br />
Wir erstellt man am besten Zertifikate für CACert?<br />
<br />
Zuerst erzeugt man einen sogenannten [http://en.wikipedia.org/wiki/Certificate_signing_request CSR]. Das macht man im speziellen, sodass es mit CACert.org kompatibel ist, über dieses [http://wiki.cacert.org/CSRGenerator Script].<br />
Wenn der Server mehrere domain namen hat, dann müssen alle diese domain namen (inklusive dem Haupt-namen, common name, CN) im SubjAlt Name aufgeführt werden.<br />
<br />
Anschliessend wird der CSR einem Funkfeuer admin übergeben, der via cacert.org den signing request signieren kann. Der admin wird dann das fertige Zertifikat retour schicken.<br />
<br />
Wie wird das Zertifikat nun in einen Server eingetragen?<br />
<br />
Beispielsweise so (für den Apache2 Webserver):<br />
<br />
<code><br />
$ cat /etc/apache2/sites-enabled/default<br />
<br />
&lt;VirtualHost *:443&gt;<br />
ServerName mein.server.at<br />
ServerAlias alias.mein.server.at mein.server.at<br />
DocumentRoot /home/www<br />
...<br />
SSLEngine on<br />
SSLCertificateFile /etc/ssl/certs/mein.server.at.pem<br />
SSLCertificateKeyFile /etc/ssl/private/mein.server.at.key<br />
SSLCipherSuite HIGH<br />
SSLProtocol all -SSLv2<br />
&lt;/VirtualHost&gt;<br />
<br />
</code><br />
<br />
Man beachte, dass man noch (unter Debian squeeze zumindest) die richtigen permissions für die Zertifikate braucht:<br />
<br />
$ chown www-data /etc//ssl/certs/mein.server.at.pem <br />
$ chown www-data /etc//ssl/private/mein.server.at.key <br />
<br />
Und der apache User sollte in der Gruppe ssl-certs sein.</div>Aaron