Hallo, ich kenne mich wohl mit dem lighttpd nicht aus, ich denke aber, dass ich mit folgenden Aussagen richtig liege:
>> ssl.ca-file = "/etc/lighttpd/ssl/ca-bundle.csr" >> server.name = "www.deinserver.local" >> server.document-root = "/var/www/usw/" >> } > > Ok, danke! Wozu braucht man denn das ca-file, und was macht > server.document-root? 1) Zuerst zu server.document-root : Du willst hier ja einen Webserver laufen lassen, irgendwo müssen die Webseiten dann ja auch abgelegt werden und server.document-root müsste einfach der Pfad auf deiner Kiste sein, wo die ganzen HTML-Seiten, CSS, PHP-Skripte usw. liegen. 2) Nun zum ca-file: HTTPS-Verbindungen sind ganz normale HTTP-Anfragen und -Antworten, welche über SSL/TLS getunnelt werden. Wie bei SSH findet hier eine Public-Key-Authentifizierung statt. Hierzu benötigst du auf dem Server den Private-Key welcher für die Verschlüsselung benötigt wird. Damit im Browser jedoch nicht bei allen Benutzern eine Sicherheitsmeldung kommt, kann der Schlüssel von einer Zertifizierungsstelle signiert sein. Diese Zertifikate sind gewöhnlich in den Browsern schon installiert und werden durch Updates ab und an erneuert (z.B. mit Browser-Update bzw. mit Windows-Update). Nun braucht der Webbrowser nur noch den Hostnamen und das Zertifikat zu vergleichen und bringt einen Sicherheitshinweis, wenn diese nicht übereinstimmen oder der Schlüssel von keiner CA unterschrieben wurde. Da man sich außer mit CAcert keine solchen Zertifikate leisten kann, ist es auch möglich im Browser den unsignierten Schlüssel des eigenen Webbrowsers zu installieren. Dieser Schlüssel muß aber erst mal vorhanden sein, auch wenn er dann nicht von einer offiziellen CA abgesegnet worden ist. Wie die Schlüsselerstellung bei lighttpd geht, weiß ich nicht. Vielleicht steht es in der Manpage.... Näheres zu SSL/TLS usw. bitte in Wikipedia und über Google nachschauen... > Und dann habe ich die Idee, daß ich doch eigentlich auch den https auf > 80 laufen lassen könnte und den 443 frei für was anderes habe. Oder > geht das dann wieder mit Proxys nicht? Verschlüsselte Verbindungen über einen Proxy sind immer eine nicht so einfache Sache, das kommt auf die Proxy-Konfiguration an. (siehe z.B. im Debian-Forum: Transparenter Squid und https-Seiten http://www.debianforum.de/forum/viewtopic.php?t=65898) Was ein Webbrowser hierzu sagt, wenn dort plötzlich nicht mehr Port 443 verwendet wird kann ich jetzt grad nicht so pauschal für alle Webbrowser sagen, sollte aber eigentlich funktionieren. Gruß Sven -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
