Der Vorteil der selbstsignierten Zertifikaten ist, dass sie kostenlos sind und recht schnell verfügbar sind. Ihr Nachteil liegt jedoch darin, dass das Zertifikat nicht automatisch von einem Browser als vertrauenswürdig anerkannt wird. Die Auswirkung ist, dass der Browser normalerweise einen Warnhinweis anzeigt und den Besucher fragt, ob er diesem Zertifikat vertrauen will.
Die Vorgehensweise ist bei beiden Zertifikaten recht ähnlich:
1.
Generieren eines Schlüssels: Dies erledigen Sie mit dem Befehl:
1024 gibt die Länge in Bit an. Hier sind Werte zwischen 512 und 2048 in 2er-Potenzen üblich. Dabei gilt je größer der Wert, desto stärker (aber auch langsamer) die Verschlüsselung.
Sie werden nach einem Passwort gefragt. Anhand dieses Passworts wird Ihr Schlüssel vor Fremdverwendung geschützt.
2.
Da dieser Schlüssel vom Apache-Webserver so noch nicht verwendet werden kann (bzw. Sie bei jedem Start des Webservers das Passwort eingeben müssten) muss dieser Schlüssel nun noch für konvertiert werden:
Geben Sie auf Anfrage das zuvor vergebene Passwort an.
3.
Nun müssen Sie einen sogenannten Zertifikats-Request erzeugen:
Nach Eingabe des Passworts werden in einem Dialog die Deteils für das zu erstellende Zertifikat abgefragt. Bedenken Sie, dass die Angaben, die Sie hier machen im Zertifikat gespeichert werden und für jeden Besucher der Seite ersichtlich sind. Machen Sie daher korrekte Angaben.
Nachfolgend der Dialog mit Beispielangaben:
Wichtig ist dabei, dass bei Common Name der Name der Domain eingetragen wird, da die meisten Browser sonst warnen, dass das Zertifikat nicht zur Seite passt.
4.
Jetzt kommt der Unterschied zwischen selbstsigniertem und fremdsignierten Zertifikat.
-> Um Ihr Zertifikat selbst zu signieren geben Sie bitte:
ein. Sie bekommen die Details des Zertifikats nochmals angegeben und müssen das Passwort des Schlüssels nochmals eingeben um Ihr Zertifikat zu signieren.
-> Wenn Sie ein echtes Zertifikat wünschen, können Sie dies nun auch im Kundeninterface im Domaininterface bestellen. Bitte beachten Sie dass die Bestellung mehrere Werktage in Anspruch nehmen kann.
5.
Jetzt müssen Sie das Zertifikat und den Schlüssel an einen Ort kopieren, an dem der Webserver Sie auch finden kann. Der Schlüssel (.key) wird üblicherweise in /etc/httpd/ssl.key gespeichert, das Zertifikat hat sein Zuhause gewöhnlich in /etc/httpd/ssl.crt und der Request (.csr) gehört in /etc/httpd/ssl.csr.
Wenn Sie Ihre httpd.conf entsprechend eingestellt haben (siehe oben), können Sie nun Ihre SSL-verschlüsselte Seite aufrufen.
Björn Strausmann (Migrated deleted Agent)
Kommentare