SSL mit CACert

Aus FunkFeuer Wiki
Version vom 5. Januar 2013, 14:40 Uhr von Aaron (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Funkfeuer verwendet oft CACert.org als CA. Wir erstellt man am besten Zertifikate für CACert?

Zuerst erzeugt man einen sogenannten CSR. Das macht man im speziellen, sodass es mit CACert.org kompatibel ist, über dieses Script. Wenn der Server mehrere domain namen hat, dann müssen alle diese domain namen (inklusive dem Haupt-namen, common name, CN) im SubjAlt Name aufgeführt werden.

Anschliessend wird der CSR einem Funkfeuer admin übergeben, der via cacert.org den signing request signieren kann. Der admin wird dann das fertige Zertifikat retour schicken.

Wie wird das Zertifikat nun in einen Server eingetragen?

Beispielsweise so (für den Apache2 Webserver):

 $ cat /etc/apache2/sites-enabled/default
 
 <VirtualHost *:443>
     ServerName   mein.server.at
     ServerAlias     alias.mein.server.at  mein.server.at
     DocumentRoot /home/www
     ...
     SSLEngine on
     SSLCertificateFile /etc/ssl/certs/mein.server.at.pem
     SSLCertificateKeyFile /etc/ssl/private/mein.server.at.key
     SSLCipherSuite HIGH
     SSLProtocol all -SSLv2
 </VirtualHost>

Man beachte, dass man noch (unter Debian squeeze zumindest) die richtigen permissions für die Zertifikate braucht:

 $ chown www-data /etc//ssl/certs/mein.server.at.pem 
 $ chown www-data /etc//ssl/private/mein.server.at.key 

Und der apache User sollte in der Gruppe ssl-certs sein.