>-----Original Message----- >From: Josef Kandlhofer [mailto:[EMAIL PROTECTED] >Sent: Tuesday, October 08, 2002 5:28 PM >To: [EMAIL PROTECTED] Apache. Org >Subject: apache+ssl > > >Hi,
Hi, > >gibt es gute, exakte Anleitungen (vielleicht deutsch) wie man am Apache >unter Suse Linux mit konfiguriert, damit SSL-Verbindungen aufgebaut werden >k�nnen?! ob sie gut ist weiss ich nicht, jedoch funktioniert dies bei mir immer: 1. Stelle sicher, dass OpenSSL installiert ist und im PATH eingetragen ist. 2. Erzeugen des RSA private key fuer den (virtuellen) Apache Server (wird Triple-DES verschluesselt und PEM formatiert): # openssl genrsa -des3 -out my.domain.at.key 1024 <Bildschirmausgabe> Generating RSA private key, 1024 bit long modulus ........++++++ ..........................++++++ e is 65537 (0x10001) Enter PEM pass phrase: -> meinPasswort Verifying password - Enter PEM pass phrase: -> meinPasswort </Bildschirmausgabe> 1024 ist dabei die Schluessellaenge. Irgendwo habe ich gelesen, dass mittlerweilen eine Schluessellaenge > 1024 Bit empfohlen wird. Habe kuerzlich einen 2048 Bit Schluessel erzeugt, funzt auch. Vom erzeugten Keyfile my.domain.at.key ein Backup erstellen und die eingegebene pass-phrase merken! Die Details von diesem erzeugtem RSA private key siehst Du folgend: # openssl rsa -noout -text -in my.domain.at.key Du kannst auch eine unverschluesselte PEM Version von diesem RSA private key erzeugen, wird aber nicht empfohlen: # openssl rsa -in my.domain.at.key -out my.domain.at.key.unsecure 3. Einen _Certificate Signing Request_ (CSR) mit dem RSA private key erzeugen (Ausgabe ist PEM formatiert): # openssl req -new -key my.domain.at.key -out my.domain.at.csr Bei der Frage _CommonName_ musst Du die URL Deiner Seite eintragen. zB. https://my.domain.at -> CommonName = my.domain.at. <Bildschirmausgabe> Using configuration from /usr/lib/ssl/openssl.cnf Enter PEM pass phrase: -> meinPasswort You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: -> AT State or Province Name (full name) [Some-State]: -> Vienna Locality Name (eg, city) []: -> Vienna Organization Name (eg, company) [Internet Widgits Pty Ltd]: -> meineFirma Organizational Unit Name (eg, section) []: -> meineAbteilung Common Name (eg, YOUR name) []: -> my.domain.at Email Address []: -> [EMAIL PROTECTED] Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: -> zusaetzlichesPasswortZumMerken An optional company name []: -> kann leer gelassen werden </Bildschirmausgabe> Die Details von diesem CSR kannst Du via # openssl req -noout -text -in my.domain.at.csr abrufen. 4. Dieses CSR nun an eine _Certifying Authorithy_ (CA) senden, oder sich selbst zertifizieren. Wenn man keine unschoenen Warnmeldungen beim Aufrufen der SSL-Site haben will, sollte man sich an einen kommerziellen Anbieter wenden, zB: Versign (http://digitalid.verisign.com/server/apacheNotice.html) Thawte (http://www.thawte.com/certs/server/request.html) Diese bestaetigen, dass Du auch Du bist und schicken Dir das Zertifikat my.domain.at.crt. Das stellst dann zb. nach /etc/apache/ssl und gibst den Pfad in die httpd.conf ein. LG , Peter
