Bearbeiten von „Aufsetzen des Apache-Servers“
Warnung: Du bist nicht angemeldet. Deine IP-Adresse wird öffentlich sichtbar, falls du Bearbeitungen durchführst. Sofern du dich anmeldest oder ein Benutzerkonto erstellst, werden deine Bearbeitungen zusammen mit anderen Beiträgen deinem Benutzernamen zugeordnet.
Die Bearbeitung kann rückgängig gemacht werden.
Bitte prüfe den Vergleich unten, um sicherzustellen, dass du dies tun möchtest, und speichere dann unten deine Änderungen, um die Bearbeitung rückgängig zu machen.
Aktuelle Version | Dein Text | ||
Zeile 133: | Zeile 133: | ||
===Erzeugen des Schlüssels=== | ===Erzeugen des Schlüssels=== | ||
− | Mit diesen Daten wird auch eine | + | Mit diesen Daten wird auch eine Konfigratunsdatei mit Namen <tt>ssl.cnf</tt> befüllt, die die Schlüsselausgabe später vereinfacht. |
{{Shell |> cd ~/bin<br> mkdir keys<br> cd keys<br> kate ssl.cnf}} | {{Shell |> cd ~/bin<br> mkdir keys<br> cd keys<br> kate ssl.cnf}} | ||
Die Datei kann beispielsweise den folgenden Inhalt haben | Die Datei kann beispielsweise den folgenden Inhalt haben | ||
Zeile 144: | Zeile 144: | ||
# Verschlüsselungsmethode | # Verschlüsselungsmethode | ||
default_md = sha512 | default_md = sha512 | ||
− | # | + | # prevent key encryption |
encrypt_key = no | encrypt_key = no | ||
# Sektion für Zertifizierer-Informationen: | # Sektion für Zertifizierer-Informationen: | ||
distinguished_name = dn | distinguished_name = dn | ||
− | |||
# Zertifizierer-Informationen: | # Zertifizierer-Informationen: | ||
[dn] | [dn] | ||
Zeile 164: | Zeile 163: | ||
emailAddress=hermanns@iustus.eu | emailAddress=hermanns@iustus.eu | ||
# Primärer Servername | # Primärer Servername | ||
− | CN = <b>k1</b> | + | CN = <b>k1.local</b> |
− | |||
[v3_ca] | [v3_ca] | ||
keyUsage = digitalSignature, keyEncipherment | keyUsage = digitalSignature, keyEncipherment | ||
extendedKeyUsage = serverAuth | extendedKeyUsage = serverAuth | ||
subjectAltName = IP:<b>192.168.2.10</b>, DNS:<b>k1</b>, DNS:<b>k1.local</b> | subjectAltName = IP:<b>192.168.2.10</b>, DNS:<b>k1</b>, DNS:<b>k1.local</b> | ||
− | |||
− | |||
− | |||
− | |||
[alt_names] | [alt_names] | ||
# Primärer Server-Name | # Primärer Server-Name | ||
− | DNS.1 = <b>k1</b> | + | DNS.1=<b>k1</b> |
# Sekunärer Server-Name | # Sekunärer Server-Name | ||
− | DNS.2 = <b>k1.local</b> | + | DNS.2=<b>k1.local</b> |
# Wildcard Subdomains | # Wildcard Subdomains | ||
DNS.3 = *.<b>k1.local</b> | DNS.3 = *.<b>k1.local</b> | ||
Zeile 187: | Zeile 181: | ||
Nun folgt die Certificate Signing Request (CSR; deutsch Zertifikatsignierungsanforderung), ein digitaler Antrag, um mittels der soeben erzeugten digitalen Signatur und der zusätzlichen Identitätsangaben zum Antragstellers aus der <tt>ssl.cnf</tt> ein persönliches digitales Identitäts-Zertifikat (auch Public-Key-Zertifikat genannt) zu erstellen: | Nun folgt die Certificate Signing Request (CSR; deutsch Zertifikatsignierungsanforderung), ein digitaler Antrag, um mittels der soeben erzeugten digitalen Signatur und der zusätzlichen Identitätsangaben zum Antragstellers aus der <tt>ssl.cnf</tt> ein persönliches digitales Identitäts-Zertifikat (auch Public-Key-Zertifikat genannt) zu erstellen: | ||
{{Shell |> openssl req -new -keyout ~/bin/keys/k1.key -out ~/bin/keys/k1.csr -config ~/bin/keys/ssl.cnf}} | {{Shell |> openssl req -new -keyout ~/bin/keys/k1.key -out ~/bin/keys/k1.csr -config ~/bin/keys/ssl.cnf}} | ||
− | Mithilfe des Wurzelzertifikats vom verifizierten Aussteller (uns selbst) wird nun der eigentliche Schlüssel erstellt, damit eine Rückverfolgung zum Wurzelzertifikat möglich ist. | + | Mithilfe des Wurzelzertifikats vom verifizierten Aussteller (uns selbst) wird nun der eigentliche Schlüssel erstellt, damit eine Rückverfolgung zum Wurzelzertifikat möglich ist. Damit nicht die kritischen Ursprungsparameter des Wurzelzertifikats offengelegt werden werden, wird die Ausgabe mit outform PEM bereinigt. |
− | {{Shell |> sudo openssl x509 -req \<br> -in ~/bin/keys/k1.csr \<br> -CA /etc/ssl/certs/rootCA.pem \<br> -CAkey /etc/ssl/private/rootCA.key \<br> -CAcreateserial \<br> -out ~/bin/keys/k1.crt \<br> -days 3653 \<br> -extfile ~/bin/keys/ssl.cnf \<br> -extensions v3_ca }} | + | {{Shell |> sudo openssl x509 -req \<br> -in ~/bin/keys/k1.csr \<br> -CA /etc/ssl/certs/rootCA.pem \<br> -CAkey /etc/ssl/private/rootCA.key \<br> -CAcreateserial \<br> -out ~/bin/keys/k1.crt \<br> -days 3653 \<br> -extfile ~/bin/keys/ssl.cnf \<br> -extensions v3_ca \<br> -outform PEM }} |
Damit die Zertifkate in unsere regelmäßige Sicherungsspeicherung aufgenommen werden, können wir sie in das Schlüsselverzeichnis <tt>keys</tt> unter <tt>lawsuit</tt> kopieren. Dies ist jedoch nur optional, weil es ein Sicherheitsrisiko eröffnet: | Damit die Zertifkate in unsere regelmäßige Sicherungsspeicherung aufgenommen werden, können wir sie in das Schlüsselverzeichnis <tt>keys</tt> unter <tt>lawsuit</tt> kopieren. Dies ist jedoch nur optional, weil es ein Sicherheitsrisiko eröffnet: | ||
Zeile 197: | Zeile 191: | ||
folgende Zeilen: | folgende Zeilen: | ||
<VirtualHost *:80> | <VirtualHost *:80> | ||
− | ServerName <b>k1</b> | + | ServerName <b>k1.local</b> |
− | ServerAlias <b>k1 | + | ServerAlias <b>k1</b> |
</VirtualHost> | </VirtualHost> | ||
Zeile 205: | Zeile 199: | ||
ServerAdmin webmaster@localhost | ServerAdmin webmaster@localhost | ||
DocumentRoot /home/BENUTZERNAME/lawsuit/ | DocumentRoot /home/BENUTZERNAME/lawsuit/ | ||
− | ServerName <b>k1</b> | + | ServerName <b>k1.local</b> |
− | ServerAlias <b>k1 | + | ServerAlias <b>k1</b> |
− | ErrorLog /var/log/apache2/ | + | ErrorLog /var/log/apache2/error_ssl_log |
SSLEngine on | SSLEngine on | ||
SSLCertificateFile /home/BENUTZERNAME/bin/keys/<b>k1.crt</b> | SSLCertificateFile /home/BENUTZERNAME/bin/keys/<b>k1.crt</b> | ||
Zeile 228: | Zeile 222: | ||
SSLSessionTickets off | SSLSessionTickets off | ||
− | Damit diese Einstellungen nicht der vom Linux-System vorgegebenen Konfiguration widersprechen, | + | Damit diese Einstellungen nicht der vom Linux-System vorgegebenen Konfiguration widersprechen, muss in der Datei <tt>/usr/share/doc/packages/apache2/original/extra/httpd-ssl.conf</tt> noch die Zeile |
− | + | ServerName <b>www.example.com</b>:443 | |
+ | in | ||
ServerName <b>k1</b>:443 | ServerName <b>k1</b>:443 | ||
− | + | geändert werden. | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
Unter Firefox kann das selbstgezeichnete Zertifikat nun verwendet werden. Bitte beachten Sie, dass für jede Apache-Konfigurrationsdatei ein anderer Port geöffnet werden muss, "443" also nur einmal verwendet werden kann. Sie können alternativ z.B. "4443" verwenden. | Unter Firefox kann das selbstgezeichnete Zertifikat nun verwendet werden. Bitte beachten Sie, dass für jede Apache-Konfigurrationsdatei ein anderer Port geöffnet werden muss, "443" also nur einmal verwendet werden kann. Sie können alternativ z.B. "4443" verwenden. | ||