SSL mit CACert
Funkfeuer verwendet oft CACert.org als CA. Wir erstellt man am besten Zertifikate für CACert?
Zuerst erzeugt man einen sogenannten CSR. Das macht man im speziellen, sodass es mit CACert.org kompatibel ist, über dieses Script. Wenn der Server mehrere domain namen hat, dann müssen alle diese domain namen (inklusive dem Haupt-namen, common name, CN) im SubjAlt Name aufgeführt werden.
Anschliessend wird der CSR einem Funkfeuer admin übergeben, der via cacert.org den signing request signieren kann. Der admin wird dann das fertige Zertifikat retour schicken.
Wie wird das Zertifikat nun in einen Server eingetragen?
Beispielsweise so (für den Apache2 Webserver):
$ cat /etc/apache2/sites-enabled/default <VirtualHost *:443> ServerName mein.server.at ServerAlias alias.mein.server.at mein.server.at DocumentRoot /home/www ... SSLEngine on SSLCertificateFile /etc/ssl/certs/mein.server.at.pem SSLCertificateKeyFile /etc/ssl/private/mein.server.at.key SSLCipherSuite HIGH SSLProtocol all -SSLv2 </VirtualHost>
Man beachte, dass man noch (unter Debian squeeze zumindest) die richtigen permissions für die Zertifikate braucht:
$ chown www-data /etc//ssl/certs/mein.server.at.pem $ chown www-data /etc//ssl/private/mein.server.at.key
Und der apache User sollte in der Gruppe ssl-certs sein.