SSL Zertifikat

Aus ITNoobz Wiki
Wechseln zu: Navigation, Suche

Möchte man die verschlüsselten Protokolle wie https, imaps bzw. pop3s nutzen, so benötigt man ein SSL-Zertifikat einer CA (Certification Authority). Eigentlich muss solch ein Zertifikat von Firmen oder Organisationen ausgestellt werden, die dafür authorisiert sind. Man kann aber auch ein eigenes Zertifikat erstellen, welches dann aber in jedem Browser eine Fehlermeldung generieren wird, weil es nicht autorisiert ist.

Inhaltsverzeichnis

Zertifikat selbst erstellen

Am einfachsten ist es natürlich sich selbst ein Zertifikat zu erstellen. Hierbei gibt es dann aber das Problem mit den Fehlermeldungen im Browser etc. , weil das Zertifikat von niemanden beglaubigt wurde. Mit dem Befehl

openssl req -new -x509 -days 365 -nodes -out example.com.pem -keyout example.com.pem

damit wird ein Zertifikat erstellt, welches 365 Tage gültig ist und in der Datei example.com.pem sowohl das Zertifikat als auch der Schlüssel liegt.

Zertifikat kostenlos bekommen bei StartSSL

Der eigene Webserver mit einem SSL-Zertifikat, das von einer zugelassenen Certificate Authority ausgestellt wurde und somit im Browser auch keine Warnmeldung verursacht, das ist ein Traum für jeden Serveradministrator. Der israelische Anbieter StartSSL bietet kostenlose SSL-Serverzertifikate an, die immerhin ein Jahr gültig sind.

Schlüsselpaar generieren

mit dem Befehl

openssl genrsa -out example.com.key 2048

kann man sich ganz einfach einen privaten und einen geheimen Schlüssel für sein SSL Zertifikat erstellen. Die Schlüssel werden dabei in der Datei exampls.com.key gespeichert und sind 2048 bit lang.

Certificate Signing Request (CSR) erzeugen

mit dem Befehl

openssl req -new -key example.com.key -out example.com.csr

generiert mann anschließend aus dem zuvor erstellen Schlüsselpaar einen CSR. Der CSR enthält üblicherweise Angaben zum Inhaber des Schlüssels wie Organisation, Land, Ort, E-Mail-Adresse und die Adresse des Servers (Common Name, CN) für die das Zertifikat ausgestellt werden soll, also www.example.com. Daneben enthält der CSR den öffentlichen Schlüssel. Den CSR schickt man zur Certificate Authority, die ein Zertifikat erstellt. In unserem Fall ist dies StartSSL.

Danach sollte man von StartSSL als Antwort eine Datei

example.com.crt 

erhalten, die das fertige Zertifikat darstellt.

Zertifikat auf dem Server speichern

Das Zertifikat selbst, sollte man dann Zentral auf dem Server speichern um es global verwenden zu können. Unter Linux sollten Zertifikate unter

/etc/ssl/certs

liegen.

Der private Schlüssel liegt zusammen mit dem öffentlichen und sollte auf dem Server an einem sicheren Ort versteckt werden. Unter Linux bietet sich hierbei ein Ort an, der nur von bestimmten Benutzern gelesen werden kann.

/etc/ssl/private

Der Perfekte Mail Server

  1. DynDNS Domain
  2. SMTP Relay
  3. Mailspool
  4. SSL Zertifikat
  5. Postfix - Mail Transfer Agent
  6. Amavis Spam Virenfilter
  7. Dovecot - Mail Delivery Agent
  8. Dovecot - Sieve Plugin
  9. Fetchmail - Mail Retrieval Agent
  10. MySQL - Datenbank
  11. PHP - Skriptsprache
  12. Perl - Skriptsprache
  13. Apache - Weberver
  14. phpMyAdmin
  15. Roundcube Webmail
  16. Roundcube Webmail - ManageSieve Plugin
  17. Roundcube Webmail - Fetchmail Plugin
  18. Roundcube Webmail - password Plugin
  19. Roundcube Webmail - Fail2Ban Plugin
  20. Fail2Ban
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Navigation
Werkzeuge