TLS / SSL: Unterschied zwischen den Versionen
(Seite übernommen aus alter Dokumentation.) |
(kein Unterschied)
|
Version vom 17. März 2009, 22:47 Uhr
Diese Seite muss überarbeitet werden
Diese Seite wurde als Baustelle gekennzeichnet, weil sie überarbeitet werden muss. Eine Begründung dafür findest du auf der Diskussionsseite. Bitte hilf mit, diese Seite zu verbessern!Zertifikate für ssl
Will man SSL nutzen, braucht man in seinem Paket eine eigene IP-Nummer, da dies die Voraussetzung zur Nutzung von ssl-Verschlüsselung ist. Deshalb ist auch nur ein Zertifikat pro Paket möglich.
Hostsharing besitzt ein ssl-Zertifikat, das auch von seinen Mitgliedern genutzt werden kann, die eine eigene IP-Nummer in ihrem Paket haben. Tut man das, muss man aber akzeptieren, dass bei Aufruf des https-Protokolls im Browser eine Fehlermeldung erscheint, da die Domains nicht zusammenpassen.
Wer das vermeiden möchte, kann ein eigenes Zertifikat kaufen und bei Hostsharing nutzen.
Zunächst muss man als Paket-Admin einen private key erzeugen und dann einen CSR. Wie das genau funktioniert, ist meistens von Seiten der Zertifizierungsstelle beschrieben.
Man kann aber auch ein kleines Skript nutzen, das Michael Hierweck aufgrund von einer Anleitung von Michaels Hönnig zur Erzeugung von Zertifikaten geschrieben hat:
#! /bin/sh #Nur Zugriffe für den Owner erlauben umask u=rwx,g=,o= #Zertifikat erzeugen openssl req -new -x509 -keyout ~/etc/cakey.pem -out ~/etc/careq.pem $* openssl rsa <~/etc/cakey.pem >~/etc/https.new cat ~/etc/careq.pem >>~/etc/https.new #Temporäre Dateien löschen rm ~/etc/cakey.pem rm ~/etc/careq.pem #Altes Zertifikat sichern cp ~/etc/https.pem ~/etc/https.old
Es können weitere Parameter angeben werden, z.B. -days 370.
Die Domain oder Wildcard (*.domain.TLD) für die das Zertifikat gilt, wird auf die Frage als Common Name angegeben.
Anschließend wird der Zertifizierungsstelle der csr übermittelt. Die Datei, die man dann von der Zertifizierungsstelle erhält, muss in das Verzeichnis /etc des Paketadmins kopiert werden. Das neue Zertifikat muss dann noch manuell aktiviert werden, d.h. in https.pem umbenannt werden. Damit kann man dies zu einem beliebigen späteren Zeitpunkt tun und das Zertifikat vorher prüfen.
Stammzertifikat von Hostsharing
Hostsharing verfügt über ein eigenes Stammzertifikat. Damit ist es möglich, ssl-Verschlüsselung zu nutzen. Die ssl-Verschlüsselung wird zwar von den Browsern nicht als vertrauenswürdig anerkannt, da es nicht von einer Zertifizierungsstelle authentifiziert wurde, aber Hostsharing-Mitglieder vertrauen diesem Zertifikat natürlich trotzdem :-).
Das Stammzertifikat kann von Euch aber in die Liste der vertrauenswürdigen Zertifikate Eures Browsers übernommen werden und unter der folgenden URL direkt in den Browser geladen werden:
http://pacs.hostsharing.net/hostsharing-root-ca.crt
Auf dem Server ist das Zertifikat unter /home/htdocs/hostsharing-root-ca.crt abgelegt.
Es kann unter Windows auch auf die lokale Platte kopiert und dann per Doppelklick installiert werden.
Damit sind dann auch E-Mails mit ssl-Verschlüsselung möglich.