Hallo Silvio,
wie Frank das beschreibt kommt es der Realit�t schon sehr Nahe. Mit Hilfe von OpenSSL (o.�.) wird erst das Schl�sselpaar (Public- und Private-Key) und dann ein Request f�r eine Zertifizierung generiert (die .csr). Den Zeritifizierungsrequest schickst du an deine CA, welche dir (nat�rlich gegen entsprechende viel zu hohe Zahlung) ein Zertifikat ausstellt, welches sie dir entweder in Form einer .crt-Datei, oder in einer Mail als reinen Text �bermittelt (der Text ohne deinen Private Key ist wertlos, wodurch das kein Sicherheitsproblem darstellt). Dieser Text steht zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- -Tags und kann (zusammen mit den Tags!) einfach in eine Textdatei kopiert werden, welche du daraufhin auf deinzertifikat.crt umbenennst.
Apache ben�tigt zum Laufen nun sowohl das Schl�sselpaar (die .key-Datei) und das Zertifikat (die .crt-Datei):
(in Apache 2.0.50, Windows) SSLEngine On SSLCertificateFile /pfad/deinzertifikat.crt SSLCertificateKeyFile /pfad/deinzertifikat.key
Zu beachten ist noch der Passwortschutz des .key-Files. Apache braucht dieses Kennwort (das du beim Erzeugen des Key-Pairs angegeben hast) beim Startup, das hei�t, du musst das Kennwort f�r jeden Key bei jedem Startup manuell eingeben. Wenn du es kannst, kannst du dir jedoch eine kleine Anwendung schreiben, welche dir diese Arbeit abnimmt:
SSLPassPhraseDialog exec:/pfad/anwendung.exe
Diese anwendung.exe wird f�r jedes Zertifikat einmal von Apache aufgerufen und nach dem entsprechenden Passwort befragt, welches diese dann liefert. N�heres dazu solltest du im Internet finden k�nnen, oft bieten CAs auch eine detailliert Anleitung f�r die Installation ihrer Zertifikate mit g�ngigen HTTP-Servern.
Gru�,
Thomas
----- Original Message ----- From: "Frank Thommen" <[EMAIL PROTECTED]>
To: <[email protected]>
Sent: Tuesday, March 15, 2005 12:02 AM
Subject: Re: Apache SSL
Hallo Silvio,
Also habe ich bei der psw.net ein Zertifikat bestellt, und wie folgt eingerichtet. <> openssl genrsa -des3 -out hserverbiz.key 1024 openssl genrsa -out hserverbiz.key 1024 openssl req -new -key hserverbiz.key -out hserverbiz.csr </>
Danach habe ich den Inhalt des mir geschickten Zertifikates in das csr kopiert. Leider startet der Apache-SSL nicht mehr.
/var/log/apache/ [Mon Mar 14 23:03:02 2005] [crit] Error reading server certificate file /etc/apache/hserverbiz.csr [Mon Mar 14 23:03:02 2005] [crit] error:0906D06C:PEM routines: PEM_read_bio:no start line
Folgendes habe ich bekommen: Eine Textdatei mit den Zertifikat, eine Startssl.csr das war es.
Das *.csr ist soweit ich weiss ein Certificate Signing Request, also erst die Anfrage an die CA (psw.net) um eine Zertifizierung Deines privaten Keys (hserverbiz.key). Von der CA muesstest Du ein Zertifikat zurueckerhalten (vermutlich die Textdatei, die Du erwaehnst). Es sollte das verschluesselte Zertifikat (zwischen '-----BEGIN CERTIFICATE-----' und '-----END CERTIFICATE-----' enthalten). Dieses File zusammen mit einem File, wo Dein persoenlicher Key drin ist muesstest Du dann mit Apache verwenden koennen.
Ich hoffe das stimmt so ungefaehr. Ich habe den Ablauf aus den Skripten abgeleitet, die unsere "selbstgebrauten" Zertifikate generieren.
frank
-- Next absence: March 21 - March 24, 2005
Frank Thommen System Management & Support +41 44 63 27208 Inst. of Computational Science ETH [EMAIL PROTECTED] ETH Zentrum / HRS, CH-8092 Zuerich www.inf.ethz.ch/~fthommen
-------------------------------------------------------------------------- Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED] sonstige Anfragen an [EMAIL PROTECTED] --------------------------------------------------------------------------
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de" unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--------------------------------------------------------------------------
