Zuerst brauchen wir einen privaten Schl\u00fcssel, den generieren wir mit openssl:<\/p>\n
openssl genrsa -des3 -out server.key 1024<\/em><\/span><\/strong><\/p>\n Hier steht die 1024 f\u00fcr die st\u00e4rke (Bitanzahl) des Schl\u00fcssels, je gr\u00f6\u00dfer der Wert, desto sicherer. Allerdings auf je gr\u00f6\u00dfer der Wert, desto mehr rechenaufwand ist n\u00f6tig. Gute werte sind zwischen 1024 und 4096 bit.<\/p>\n Wir erhalten folgende Ausgabe:<\/p>\n openssl genrsa -des3 -out server.key 1024 Die Passphrase die Ihr hier eingebt m\u00fcsst Ihr euch merken, da wir diese ben\u00f6tigen um die Passphrase hinterher zu entfernen und das Zertifikat zu erstellen. Wollt Ihr das Zertifikat nicht f\u00fcr einen Webserver verwenden oder Ihr habt wirklich starke Sicherheitsanspr\u00fcche, kann es sinnvoll sein, das Passwort zu belassen. Ihr m\u00fcsst die Passphrase dann allerdings bei jedem Start des Apaches eingeben.<\/p>\n Jetzt m\u00fcssen wir den CSR generieren. Auch hier ben\u00f6tigen wir wieder openssl.<\/p>\n openssl req -new -key server.key -out server.csr <\/em><\/strong><\/span><\/p>\n Wenn wir den Befehl abgesetzt haben erhalten wir folgende Ausgabe:<\/p>\n Enter pass phrase for server.key: Please enter the following ‚extra‘ attributes H<\/span>ier tragen wir die Daten ein und kommen schon zum n\u00e4chsten Schritt, dem entfernen der Passphrase.<\/span><\/span><\/p>\n Um nicht jedes mal ein Passwort eingeben zu m\u00fcssen wenn wir den Apache starten, entfernen wir die Passphrase vom Schl\u00fcssel. Ich m\u00f6chte allerdings darauf hinweisen, das dieses Vorgehen, sicherheitstechnisch nicht korrekt ist! Aber f\u00fcr die meisten Zwecke ausreicht. cp server.key server.key.org<\/strong><\/em><\/span><\/p>\n Wir kopieren als erstes mal den Schl\u00fcssel und anschlie\u00dfend entfernen wir die Passphrase<\/span><\/span><\/p>\n openssl rsa -in server.key.org -out server.key Dieses eine mal m\u00fcssen wir das PW noch eingeben, dann aber haben wir mit dem server.key einen passwortloen Schl\u00fcssel f\u00fcr unseren Webserver. Jetzt brauchen wir nur noch das Zertifikat.<\/span><\/span><\/p>\n Um ein Zertifikat mit einer G\u00fcltigkeit von 365 Tagen zu erstellen machen wir jetzt folgendes:<\/span><\/span><\/p>\n openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt<\/strong><\/em><\/span><\/p>\n Wir erhalten folgende Ausgabe:<\/p>\n Signature ok Und tada nun haben wir alles zusammen was wir brauchen.<\/p>\n Jetzt m\u00fcssen wir den Kram noch in den Apachen eintragen, hier ein mini Beispiel:<\/p>\n Listen 443 <VirtualHost *:443> SSLEngine on<\/strong><\/em><\/span><\/p>\n SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL Privaten Schl\u00fcssel generieren: Zuerst brauchen wir einen privaten Schl\u00fcssel, den generieren wir mit openssl: openssl genrsa -des3 -out server.key 1024 Hier steht die 1024 f\u00fcr die st\u00e4rke (Bitanzahl) des Schl\u00fcssels, je gr\u00f6\u00dfer der Wert, desto sicherer. Allerdings auf je gr\u00f6\u00dfer … Weiterlesen
\nGenerating RSA private key, 1024 bit long modulus
\n……………………………………………………++++++
\n…….++++++
\ne is 65537 (0x10001)
\nEnter pass phrase for server.key:
\nVerifying – Enter pass phrase for server.key:<\/span><\/em><\/strong><\/p>\nCSR (Certificate Signing Request) generieren<\/h1>\n
\nYou are about to be asked to enter information that will be incorporated
\ninto your certificate request.
\nWhat you are about to enter is what is called a Distinguished Name or a DN.
\nThere are quite a few fields but you can leave some blank
\nFor some fields there will be a default value,
\nIf you enter ‚.‘, the field will be left blank.
\n—–
\nCountry Name (2 letter code) [GB]:DE
\nState or Province Name (full name) [Berkshire]:Bavaria
\nLocality Name (eg, city) [Newbury]:Nuernberg
\nOrganization Name (eg, company) [My Company Ltd]:Meine Firma
\nOrganizational Unit Name (eg, section) []:IT
\nCommon Name (eg, your name or your server’s hostname) []:tn.genano.de
\nEmail Address []:nicht.an.schreiben@genano.de<\/strong><\/em><\/span><\/p>\n
\nto be sent with your certificate request
\nA challenge password []:
\nAn optional company name []:<\/strong><\/em><\/span><\/p>\nPassphrase vom Schl\u00fcssel entfernen<\/span><\/span><\/h1>\n
\n<\/span><\/span><\/p>\n
\nEnter pass phrase for server.key.org:
\nwriting RSA key<\/strong><\/em><\/span><\/p>\nZertifikat erstellen<\/span><\/span><\/h1>\n
\nsubject=\/C=DE\/ST=Bavaria\/L=Nuernberg\/O=Meine Firma\/OU=IT\/CN=tn.genano.de\/emailAddress=nicht.an.schreiben@genano.de
\nGetting Private key<\/strong><\/em><\/span><\/p>\nIm Apache<\/h1>\n
\n<\/strong><\/em><\/span><\/p>\n
\nDocumentRoot „\/var\/www\/html\/“
\nServerName tn.genano.de
\nServerAdmin webmaster@genano.de
\nErrorLog \/var\/log\/httpd\/error_log
\nTransferLog \/var\/log\/httpd\/access_log<\/strong><\/em><\/span><\/p>\n
\nSSLCertificateFile \/etc\/ssl\/ServerCerts\/server.crt
\nSSLCertificateKeyFile \/etc\/ssl\/ServerCerts\/server.key
\n<Files ~ „\\.(cgi|shtml|phtml|php3?)$“>
\nSSLOptions +StdEnvVars
\n<\/Files>
\n<Directory „\/srv\/www\/cgi-bin“>
\nSSLOptions +StdEnvVars
\n<\/Directory>
\n<Directory „\/var\/www\/html>
\nOptions Indexes FollowSymLinks
\nAllowOverride All
\nOrder allow,deny
\nAllow from all
\n<\/Directory>
\nSetEnvIf User-Agent „.*MSIE.*“ \\
\nnokeepalive ssl-unclean-shutdown \\
\ndowngrade-1.0 force-response-1.0
\nCustomLog \/var\/log\/httpd\/ssl_request_log\u00a0\u00a0 ssl_combined
\n<\/VirtualHost><\/strong><\/em><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"