Wie erstelle ich einen SSL-Schlüssel ?

Um SSL nutzen zu können müssen Sie einen Serverschlüssel, ein sogenanntes Zertifikat generieren und installieren. Hier gibt es verschiedene Möglichkeiten, die von den persönlichen Vorlieben und Ansprüchen abhängen. Grundlegend wird zwischen selbstsignierten und fremdsignierten Zertifikaten unterschieden.

Der Vorteil der selbstsignierten Zertifikaten ist, dass sie kostenlos sind und recht schnell verfügbar sind. Ihr Nachteil liegt jedoch darin, dass das Zertifikat nicht automatisch von einem Browser als vertrauenswürdig anerkannt wird. Die Auswirkung ist, dass der Browser normalerweise einen Warnhinweis anzeigt und den Besucher fragt, ob er diesem Zertifikat vertrauen will.

Die Vorgehensweise ist bei beiden Zertifikaten recht ähnlich:

1.
Generieren eines Schlüssels: Dies erledigen Sie mit dem Befehl:

openssl genrsa -des3 -out my_key.key.secure 1024

 1024 gibt die Länge in Bit an. Hier sind Werte zwischen 512 und 2048 in 2er-Potenzen üblich. Dabei gilt je größer der Wert, desto stärker (aber auch langsamer) die Verschlüsselung.

Sie werden nach einem Passwort gefragt. Anhand dieses Passworts wird Ihr Schlüssel vor Fremdverwendung geschützt.

2.
Da dieser Schlüssel vom Apache-Webserver so noch nicht verwendet werden kann (bzw. Sie bei jedem Start des Webservers das Passwort eingeben müssten) muss dieser Schlüssel nun noch für konvertiert werden:

openssl rsa -in my_key.key.secure -out my_key.key

Geben Sie auf Anfrage das zuvor vergebene Passwort an.

3.
Nun müssen Sie einen sogenannten Zertifikats-Request erzeugen:

openssl req -new -key my_key.key.secure -out my_key.csr

Nach Eingabe des Passworts werden in einem Dialog die Deteils für das zu erstellende Zertifikat abgefragt. Bedenken Sie, dass die Angaben, die Sie hier machen im Zertifikat gespeichert werden und für jeden Besucher der Seite ersichtlich sind. Machen Sie daher korrekte Angaben.
Nachfolgend der Dialog mit Beispielangaben:

Country Name (2 letter code) []:DE
State or Province Name (full name) []:Nordrhein-Westfalen
Locality Name (eg, city) []:Koeln
Organization Name (eg, company) []:Muster GmbH
Organizational Unit Name (eg, section) []:EDV-Vertrieb
Common Name (eg, YOUR name) []:www.yourdomain.tld
Email Address []:you@yourdomain.tld

Please enter the following \'extra\' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:



Wichtig ist dabei, dass bei Common Name der Name der Domain eingetragen wird, da die meisten Browser sonst warnen, dass das Zertifikat nicht zur Seite passt.

4.
Jetzt kommt der Unterschied zwischen selbstsigniertem und fremdsignierten Zertifikat.

-> Um Ihr Zertifikat selbst zu signieren geben Sie bitte:

openssl x509 -req -days 365 -in my_key.csr \\
-signkey my_key.key.secure -out my_key.crt

 ein. Sie bekommen die Details des Zertifikats nochmals angegeben und müssen das Passwort des Schlüssels nochmals eingeben um Ihr Zertifikat zu signieren.

-> Wenn Sie ein echtes Zertifikat wünschen, können Sie dies nun auch im Kundeninterface im Domaininterface bestellen. Bitte beachten Sie dass die Bestellung mehrere Werktage in Anspruch nehmen kann.

5.
Jetzt müssen Sie das Zertifikat und den Schlüssel an einen Ort kopieren, an dem der Webserver Sie auch finden kann. Der Schlüssel (.key) wird üblicherweise in /etc/httpd/ssl.key gespeichert, das Zertifikat hat sein Zuhause gewöhnlich in /etc/httpd/ssl.crt und der Request (.csr) gehört in /etc/httpd/ssl.csr.


Wenn Sie Ihre httpd.conf entsprechend eingestellt haben (siehe oben), können Sie nun Ihre SSL-verschlüsselte Seite aufrufen.