TLS / SSL: Unterschied zwischen den Versionen

Aus Hostsharing Wiki
Zur Navigation springen Zur Suche springen
(Seite übernommen aus alter Dokumentation.)
 
(aktuelle standard Konfiguration)
Zeile 3: Zeile 3:
[[Kategorie:WWW]]
[[Kategorie:WWW]]


==Zertifikate für ssl==
Hostsharing besitzt ein SSL-Zertifikat, das auch von Mitgliedern genutzt werden kann.


Will man SSL nutzen, braucht man in seinem Paket eine eigene IP-Nummer, da dies die Voraussetzung zur Nutzung von ssl-Verschlüsselung ist. Deshalb ist auch nur ein Zertifikat pro Paket möglich.
Bei aufgeschalteten Domains sind standardmäßig die Verzeichnisse doms-ssl, subs-ssl, cgi-ssl und fastcgi-ssl  als symbolische Links auf die entsprechenden nicht-ssl Verzeichnisse angelegt. Damit kann auf die Domain auch über https:// Verbindungen zugegriffen werden. Als Zertifikat wird standardmäßig das Wildcard-Zertifikat von Hostsharing verwendet. Im Browser muss man daher akzeptieren, dass das Zertifikat nicht zur eigenen Domain passt.


Hostsharing besitzt ein ssl-Zertifikat, das auch von seinen Mitgliedern genutzt werden kann, die eine eigene IP-Nummer in ihrem Paket haben. Tut man das, muss man aber akzeptieren, dass bei Aufruf des https-Protokolls im Browser eine Fehlermeldung erscheint, da die Domains nicht zusammenpassen.
Für eigene Konfigurations- bzw. Administrationsseiten kann ohne weiteres das HS Zertifikat zur Absicherung der Verbindung verwendet werden.
 
 
== Eigene SSL Zertifikate ==
 
Möchte man, dass eine Domain ohne Fehlermeldungen per SSL erreichbar ist, benötigt man ein Zertifikat einer Zertifizierungsstelle, die von den Browsern standardmäßig anerkannt wird.
 
Zudem benötigt man in seinem Paket eine eigene IP-Nummer, da dies die Voraussetzung (??? Noch aktuell ???) zur Nutzung von ssl-Verschlüsselung ist. Deshalb ist auch nur ein Zertifikat pro Paket möglich.


Wer das vermeiden möchte, kann ein eigenes Zertifikat kaufen und bei Hostsharing nutzen.


Zunächst muss man als Paket-Admin einen private key erzeugen und dann einen CSR. Wie das genau funktioniert, ist meistens von Seiten der Zertifizierungsstelle beschrieben.
Zunächst muss man als Paket-Admin einen private key erzeugen und dann einen CSR. Wie das genau funktioniert, ist meistens von Seiten der Zertifizierungsstelle beschrieben.
Zeile 37: Zeile 43:


Anschließend wird der Zertifizierungsstelle der csr übermittelt. Die Datei, die man dann von der Zertifizierungsstelle erhält, muss in das Verzeichnis /etc des Paketadmins kopiert werden. Das neue Zertifikat muss dann noch manuell aktiviert werden, d.h. in https.pem umbenannt werden. Damit kann man dies zu einem beliebigen späteren Zeitpunkt tun und das Zertifikat vorher prüfen.
Anschließend wird der Zertifizierungsstelle der csr übermittelt. Die Datei, die man dann von der Zertifizierungsstelle erhält, muss in das Verzeichnis /etc des Paketadmins kopiert werden. Das neue Zertifikat muss dann noch manuell aktiviert werden, d.h. in https.pem umbenannt werden. Damit kann man dies zu einem beliebigen späteren Zeitpunkt tun und das Zertifikat vorher prüfen.
==Stammzertifikat von Hostsharing==
Hostsharing verfügt über ein eigenes Stammzertifikat. Damit ist es möglich, ssl-Verschlüsselung zu nutzen. Die ssl-Verschlüsselung wird zwar von den Browsern nicht als vertrauenswürdig anerkannt, da es nicht von einer Zertifizierungsstelle authentifiziert wurde, aber Hostsharing-Mitglieder vertrauen diesem Zertifikat natürlich trotzdem :-).
Das Stammzertifikat kann von Euch aber in die Liste der vertrauenswürdigen Zertifikate Eures Browsers übernommen werden und unter der folgenden URL direkt in den Browser geladen werden:
http://pacs.hostsharing.net/hostsharing-root-ca.crt
Auf dem Server ist das Zertifikat unter /home/htdocs/hostsharing-root-ca.crt abgelegt.
Es kann unter Windows auch auf die lokale Platte kopiert und dann per Doppelklick installiert werden.
Damit sind dann auch E-Mails mit ssl-Verschlüsselung möglich.

Version vom 31. Mai 2009, 18:34 Uhr


Diese Seite muss überarbeitet werden

Diese Seite wurde als Baustelle gekennzeichnet, weil sie überarbeitet werden muss. Eine Begründung dafür findest du auf der Diskussionsseite. Bitte hilf mit, diese Seite zu verbessern!

Hostsharing besitzt ein SSL-Zertifikat, das auch von Mitgliedern genutzt werden kann.

Bei aufgeschalteten Domains sind standardmäßig die Verzeichnisse doms-ssl, subs-ssl, cgi-ssl und fastcgi-ssl als symbolische Links auf die entsprechenden nicht-ssl Verzeichnisse angelegt. Damit kann auf die Domain auch über https:// Verbindungen zugegriffen werden. Als Zertifikat wird standardmäßig das Wildcard-Zertifikat von Hostsharing verwendet. Im Browser muss man daher akzeptieren, dass das Zertifikat nicht zur eigenen Domain passt.

Für eigene Konfigurations- bzw. Administrationsseiten kann ohne weiteres das HS Zertifikat zur Absicherung der Verbindung verwendet werden.


Eigene SSL Zertifikate

Möchte man, dass eine Domain ohne Fehlermeldungen per SSL erreichbar ist, benötigt man ein Zertifikat einer Zertifizierungsstelle, die von den Browsern standardmäßig anerkannt wird.

Zudem benötigt man in seinem Paket eine eigene IP-Nummer, da dies die Voraussetzung (??? Noch aktuell ???) zur Nutzung von ssl-Verschlüsselung ist. Deshalb ist auch nur ein Zertifikat pro Paket möglich.


Zunächst muss man als Paket-Admin einen private key erzeugen und dann einen CSR. Wie das genau funktioniert, ist meistens von Seiten der Zertifizierungsstelle beschrieben.

Man kann aber auch ein kleines Skript nutzen, das Michael Hierweck aufgrund von einer Anleitung von Michaels Hönnig zur Erzeugung von Zertifikaten geschrieben hat:

 #! /bin/sh
 
 #Nur Zugriffe für den Owner erlauben
 umask u=rwx,g=,o=
 
 #Zertifikat erzeugen
 openssl req -new -x509 -keyout ~/etc/cakey.pem -out ~/etc/careq.pem $*
 openssl rsa <~/etc/cakey.pem >~/etc/https.new
 cat ~/etc/careq.pem >>~/etc/https.new
 
 #Temporäre Dateien löschen
 rm ~/etc/cakey.pem
 rm ~/etc/careq.pem
 
 #Altes Zertifikat sichern
 cp ~/etc/https.pem ~/etc/https.old

Es können weitere Parameter angeben werden, z.B. -days 370.

Die Domain oder Wildcard (*.domain.TLD) für die das Zertifikat gilt, wird auf die Frage als Common Name angegeben.

Anschließend wird der Zertifizierungsstelle der csr übermittelt. Die Datei, die man dann von der Zertifizierungsstelle erhält, muss in das Verzeichnis /etc des Paketadmins kopiert werden. Das neue Zertifikat muss dann noch manuell aktiviert werden, d.h. in https.pem umbenannt werden. Damit kann man dies zu einem beliebigen späteren Zeitpunkt tun und das Zertifikat vorher prüfen.