CA Einrichten/HTTPS/POP3s
Hallo Leute! Ich habe mir einen apache 1.3 server mit mod_ssl eingerichtet. Ein Zertifikat wurde auch mit dem script unter /usr/share/doc/packages/mod_ssl erzeugt. jetzt habe ich festgestellt, das das zertifikat abgelaufen ist (und sowieso nur ein dummy). allerdings habe ich nicht herausfinden koennen, wie ich ein permanentes oder zumindest neues, laengergueltiges zertifikat erzeugen kann. dazu benoetigt man ja eine CA. sinngemaess gilt das gleiche fuer pop3s. Hier also meine Fragen: - Wir haben Lotus Notes Domino 6 am laufen, kann man damit die Zertifikate signieren? Wenn ja, wie? - Gibt es eine einfache Anleitung eine CA einzurichten um fuer HTTPs und POP3s ein Zertifikat zu erstellen und signieren, welches spaeter gueltig ist? Natuerlich koennte man zu Versigign oder zum Trustcenter gehen, das moechte ich aber vorerst vermeiden. Eventuell kennt aber einer eine Moeglichkeit wie man kostenlos an eine solche Signatur herankommt? Danke fuer die Tipps, Thorsten
"Dr. Thorsten Brandau"
Hallo Leute! [...] - Wir haben Lotus Notes Domino 6 am laufen, kann man damit die Zertifikate signieren? Wenn ja, wie?
Keine Ahnung
- Gibt es eine einfache Anleitung eine CA einzurichten um fuer HTTPs und POP3s ein Zertifikat zu erstellen und signieren, welches spaeter gueltig ist?
Ja.
Natuerlich koennte man zu Versigign oder zum Trustcenter gehen, das moechte ich aber vorerst vermeiden. Eventuell kennt aber einer eine Moeglichkeit wie man kostenlos an eine solche Signatur herankommt?
cd /usr/share/ssl/misc ./CA.pl -newca ./CA.pl -newreq ./CA.pl -signreq openssl rsa -in newreq.pem -out server_key.pem ./CA.pl -verify newcert.pem Konfigurationen kannst du in /etc/ssl/openssl.cnf ändern. Das funktioniert in einem geschlossenen Netzwerk. Wenn du Fremden den Zugang über https ermöglichen möchtest, mußt du leider über VeriSign oder Trustcenter gehen, da ja zur Prüfung deines Zertifikates ein cacert benötigt wird. -Dieter -- Dieter Klünter | Systemberatung Tel.: +49.40.64861967 Fax : +49.40.64891521 http://www.avci.de
cd /usr/share/ssl/misc ./CA.pl -newca ./CA.pl -newreq ./CA.pl -signreq openssl rsa -in newreq.pem -out server_key.pem ./CA.pl -verify newcert.pem
okay, super. so weit so gut. aber wie erstelle ich jetzt ein zertifikat fuer mod_ssl?
Konfigurationen kannst du in /etc/ssl/openssl.cnf ändern.
mmh. ehrlichgesagt finde ich die doku in der datei mehr oder weniger unverstaendlich. gibt es da was besseres?
Das funktioniert in einem geschlossenen Netzwerk. Wenn du Fremden den Zugang über https ermöglichen möchtest, mußt du leider über VeriSign oder Trustcenter gehen, da ja zur Prüfung deines Zertifikates ein cacert benötigt wird.
was ich moechte ist einen im internet verfuegbaren, nicht-oeffentlichen https/pop3s server zur verfuegung stellen (nur fuer mitarbeiter). aber gerade bei den mod_ssl certifikaten (mkcert verstehe ich nicht wirklich was er da so alles macht...). Vielleicht kannst du mir da noch einen Tipp geben? Danke T
"Dr. Thorsten Brandau"
cd /usr/share/ssl/misc ./CA.pl -newca ./CA.pl -newreq ./CA.pl -signreq openssl rsa -in newreq.pem -out server_key.pem ./CA.pl -verify newcert.pem
okay, super. so weit so gut. aber wie erstelle ich jetzt ein zertifikat fuer mod_ssl?
Konfigurationen kannst du in /etc/ssl/openssl.cnf ändern.
mmh. ehrlichgesagt finde ich die doku in der datei mehr oder weniger unverstaendlich. gibt es da was besseres?
Das funktioniert in einem geschlossenen Netzwerk. Wenn du Fremden den Zugang über https ermöglichen möchtest, mußt du leider über VeriSign oder Trustcenter gehen, da ja zur Prüfung deines Zertifikates ein cacert benötigt wird.
was ich moechte ist einen im internet verfuegbaren, nicht-oeffentlichen https/pop3s server zur verfuegung stellen (nur fuer mitarbeiter). aber gerade bei den mod_ssl certifikaten (mkcert verstehe ich nicht wirklich was er da so alles macht...).
Vielleicht kannst du mir da noch einen Tipp geben?
mod_ssl ist nichts besonderes, du machst nur das erstellte und signierte Zertifikat bekannt, die Mitarbeiter bekommen eine Kopie des cacert.pem und können damit dann das Serverzertifikat verifizieren. Du kannst auch das Script mkcert.sh benutzen, daß aber nichts anderes ist als die CA.pl bzw. CA.sh Scripts. Lies file:/usr/share/doc/packages/mod_ssl/index.html das erklärt vieles. Falls du da nicht weiter kommst, frage noch einmal. -Dieter -- Dieter Klünter | Systemberatung Tel.: +49.40.64861967 Fax : +49.40.64891521 http://www.avci.de
Hi!
mod_ssl ist nichts besonderes, du machst nur das erstellte und signierte Zertifikat bekannt, die Mitarbeiter bekommen eine Kopie des cacert.pem und können damit dann das Serverzertifikat verifizieren.
Genau hier liegt mein Problem.
Du kannst auch das Script mkcert.sh benutzen, daß aber nichts anderes ist als die CA.pl bzw. CA.sh Scripts. Lies file:/usr/share/doc/packages/mod_ssl/index.html das erklärt vieles. Falls du da nicht weiter kommst, frage noch einmal.
habe ich gelsen und versucht. das problem ist jetzt, das "sign" script, ist anscheinend bei meiner suse 9.0 und 8.2 nicht dabei. d.h. ich weiss nicht, wie ich das zertifikat unterschreibe das laut FAQ erstellt werden soll. bei deiner anleitung werten zwar wohl zertifikate erstellt - aber wenn ich server_key.pem, newcert.pem oder newreq.pem z.b. als server.key in das /etc/http/ssl.key verzeichnis kopiere startet der apache nicht mehr (genauer gesagt, der ssl-teil startet nicht mehr). wie bringe ich die dateien denn dazu vom mod_ssl akzeptiert zu werden? in der FAQ ist ein openssl x509 befehl enthalten, der meldet aber ein "untrusted" als fehlermeldung und bricht ab. ein CA.sh -signcert bricht mit einer fehlermeldung ab. in der mod_ssl faq konnte ich leider keinen hinweis finden, wie ich die zertifikate dem server bekannt mache. in der CA.sh habe ich auch keinen hinweis darauf gefunden. zur not schreibe ich halt die mkcert.sh so lange um bis es geht, aber eigentlich wollte ich wenigstens ansatzweise verstehen was ich da tue... danke nochmal fuer den tipp ciao T
Hi!
cd /usr/share/ssl/misc ./CA.pl -newca ./CA.pl -newreq ./CA.pl -signreq openssl rsa -in newreq.pem -out server_key.pem ./CA.pl -verify newcert.pem
Nun gut, also ich habe es geschafft das mod_ssl die sache frisst: newreq.pem in /etc/httpd/ssl.key und ssl.crt kopiert, nach server.key rsp. server.crt umbenannt und den entsprechenden teil geloescht ("certificate" in .key, "private" in .crt). Nach einem apache neustart, will er das passwort und dann frisst er es. Jetzt will ich das passwort loswerden und denke mir "hey, das stand doch in der FAQ". tats auch. aber leider geht es nicht. wenn ich ein leeres passwort eingeben will, meint er "minimum 4 characters". in der openssl.conf finde ich zwar eine minimalanzahl (4), wenn ich die aber auf "0" setze, will er immer noch 4. versteckt sich da irgendwo noch eine konfigurationsdatei? oder wie kann ich das passwort fuer den mod_ssl entfernen? danke und schoenen abend T
"Dr. Thorsten Brandau"
Hi!
cd /usr/share/ssl/misc ./CA.pl -newca ./CA.pl -newreq ./CA.pl -signreq openssl rsa -in newreq.pem -out server_key.pem ./CA.pl -verify newcert.pem
Nun gut, also ich habe es geschafft das mod_ssl die sache frisst:
Glückwunsch.
newreq.pem in /etc/httpd/ssl.key und ssl.crt kopiert, nach server.key rsp. server.crt umbenannt und den entsprechenden teil geloescht ("certificate" in .key, "private" in .crt). Nach einem apache neustart, will er das passwort und dann frisst er es.
Jetzt will ich das passwort loswerden und denke mir "hey, das stand doch in der FAQ". tats auch. aber leider geht es nicht. wenn ich ein leeres passwort eingeben will, meint er "minimum 4 characters". in der openssl.conf finde ich zwar eine minimalanzahl (4), wenn ich die aber auf "0" setze, will er immer noch 4. versteckt sich da irgendwo noch eine konfigurationsdatei? oder wie kann ich das passwort fuer den mod_ssl entfernen?
Das hatt ich dir schon geschrieben, openssl rsa -in newreq.xx -out key.xx Im Prinzip trennst du den Key vom Certificate. Das Paßwort ist nur im Key enthalten daher sollte der private Key nicht allgemein zugänglich sein. -Dieter -- Dieter Klünter | Systemberatung Tel.: +49.40.64861967 Fax : +49.40.64891521 http://www.avci.de
Das hatt ich dir schon geschrieben, openssl rsa -in newreq.xx -out key.xx
Super, ich war nur zu doof, bzw. nicht hartnaeckig genug: ich hatte erst *nur* den key in /etc/httpd/ssl.key kopiert, da startet der server nicht mehr. so funktionierts ohne passwortabfrage, vielen dank nochmal T
participants (2)
-
Dieter Kluenter
-
Dr. Thorsten Brandau