TLS / SSL

Aus Hostsharing Wiki
Version vom 17. März 2009, 22:47 Uhr von Jrs00-wiki (Diskussion | Beiträge) (Seite übernommen aus alter Dokumentation.)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen


Diese Seite muss überarbeitet werden

Diese Seite wurde als Baustelle gekennzeichnet, weil sie überarbeitet werden muss. Eine Begründung dafür findest du auf der Diskussionsseite. Bitte hilf mit, diese Seite zu verbessern!

Zertifikate für ssl

Will man SSL nutzen, braucht man in seinem Paket eine eigene IP-Nummer, da dies die Voraussetzung zur Nutzung von ssl-Verschlüsselung ist. Deshalb ist auch nur ein Zertifikat pro Paket möglich.

Hostsharing besitzt ein ssl-Zertifikat, das auch von seinen Mitgliedern genutzt werden kann, die eine eigene IP-Nummer in ihrem Paket haben. Tut man das, muss man aber akzeptieren, dass bei Aufruf des https-Protokolls im Browser eine Fehlermeldung erscheint, da die Domains nicht zusammenpassen.

Wer das vermeiden möchte, kann ein eigenes Zertifikat kaufen und bei Hostsharing nutzen.

Zunächst muss man als Paket-Admin einen private key erzeugen und dann einen CSR. Wie das genau funktioniert, ist meistens von Seiten der Zertifizierungsstelle beschrieben.

Man kann aber auch ein kleines Skript nutzen, das Michael Hierweck aufgrund von einer Anleitung von Michaels Hönnig zur Erzeugung von Zertifikaten geschrieben hat:

 #! /bin/sh
 
 #Nur Zugriffe für den Owner erlauben
 umask u=rwx,g=,o=
 
 #Zertifikat erzeugen
 openssl req -new -x509 -keyout ~/etc/cakey.pem -out ~/etc/careq.pem $*
 openssl rsa <~/etc/cakey.pem >~/etc/https.new
 cat ~/etc/careq.pem >>~/etc/https.new
 
 #Temporäre Dateien löschen
 rm ~/etc/cakey.pem
 rm ~/etc/careq.pem
 
 #Altes Zertifikat sichern
 cp ~/etc/https.pem ~/etc/https.old

Es können weitere Parameter angeben werden, z.B. -days 370.

Die Domain oder Wildcard (*.domain.TLD) für die das Zertifikat gilt, wird auf die Frage als Common Name angegeben.

Anschließend wird der Zertifizierungsstelle der csr übermittelt. Die Datei, die man dann von der Zertifizierungsstelle erhält, muss in das Verzeichnis /etc des Paketadmins kopiert werden. Das neue Zertifikat muss dann noch manuell aktiviert werden, d.h. in https.pem umbenannt werden. Damit kann man dies zu einem beliebigen späteren Zeitpunkt tun und das Zertifikat vorher prüfen.

Stammzertifikat von Hostsharing

Hostsharing verfügt über ein eigenes Stammzertifikat. Damit ist es möglich, ssl-Verschlüsselung zu nutzen. Die ssl-Verschlüsselung wird zwar von den Browsern nicht als vertrauenswürdig anerkannt, da es nicht von einer Zertifizierungsstelle authentifiziert wurde, aber Hostsharing-Mitglieder vertrauen diesem Zertifikat natürlich trotzdem :-).

Das Stammzertifikat kann von Euch aber in die Liste der vertrauenswürdigen Zertifikate Eures Browsers übernommen werden und unter der folgenden URL direkt in den Browser geladen werden:

http://pacs.hostsharing.net/hostsharing-root-ca.crt

Auf dem Server ist das Zertifikat unter /home/htdocs/hostsharing-root-ca.crt abgelegt.

Es kann unter Windows auch auf die lokale Platte kopiert und dann per Doppelklick installiert werden.

Damit sind dann auch E-Mails mit ssl-Verschlüsselung möglich.