Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu dieser Vergleichsansicht

Both sides previous revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
linux:eigenes_ssl-zertifikat_erstellen [31.10.2009 13:57]
nefarius
linux:eigenes_ssl-zertifikat_erstellen [05.05.2010 09:16] (aktuell)
nefarius
Zeile 31: Zeile 31:
 Wer seinen Schlüssel zusätzlich mit einem Passwort versieht, muss darauf achten, dass nicht alle Server-Dienste dies auch unterstützen. ''​lighttpd''​ z.B. verlangt beim Start die Eingabe des Passwortes. Wer seinen Schlüssel zusätzlich mit einem Passwort versieht, muss darauf achten, dass nicht alle Server-Dienste dies auch unterstützen. ''​lighttpd''​ z.B. verlangt beim Start die Eingabe des Passwortes.
 <code bash> <code bash>
-openssl genrsa -des3 -out example.pem 4096+openssl genrsa -des3 -out example.key 4096
 </​code>​ </​code>​
 === Schlüssel ohne Passphrase === === Schlüssel ohne Passphrase ===
 Meist wird man jedoch einen ungeschützten Schlüssel verwenden, da dieser z.B. bei einem Server-Neustart ohne Passwort-Abfrage gelesen werden kann (**Dateirechte entsprechend anpassen! Nur root und der Dienst sollen diese Datei lesen können!**). Meist wird man jedoch einen ungeschützten Schlüssel verwenden, da dieser z.B. bei einem Server-Neustart ohne Passwort-Abfrage gelesen werden kann (**Dateirechte entsprechend anpassen! Nur root und der Dienst sollen diese Datei lesen können!**).
 <code bash> <code bash>
-openssl genrsa -out example.pem 4096+openssl genrsa -out example.key 4096
 </​code>​ </​code>​
  
Zeile 42: Zeile 42:
 Will man von einem vorhandenen geschützten Schlüssel die Passphrase entfernen, hilft folgender Befehl: Will man von einem vorhandenen geschützten Schlüssel die Passphrase entfernen, hilft folgender Befehl:
 <code bash> <code bash>
-openssl rsa -in example.pem -out example-unsafe.pem+openssl rsa -in example.key -out example-unsafe.key
 </​code>​ </​code>​
 ==== Erzeugung einer Certificate Signing Request (CSR) ==== ==== Erzeugung einer Certificate Signing Request (CSR) ====
 Den Certificate Signing Request (CSR) benötigt man, um ein vollwertiges Zertifikat von einer Zertifizierungsstelle zu erhalten, man erstellt es mit folgender Zeile: Den Certificate Signing Request (CSR) benötigt man, um ein vollwertiges Zertifikat von einer Zertifizierungsstelle zu erhalten, man erstellt es mit folgender Zeile:
 <code bash> <code bash>
-openssl req -new -key example.pem -out example.csr+openssl req -new -key example.key -out example.csr
 </​code>​ </​code>​
  
Zeile 65: Zeile 65:
 Für private Seiten, die z.B. nur den Administrationsbereich vor Man-In-The-Middle schützen möchten, ist diese Methode mehr als ausreichend:​ Für private Seiten, die z.B. nur den Administrationsbereich vor Man-In-The-Middle schützen möchten, ist diese Methode mehr als ausreichend:​
 <code bash> <code bash>
-openssl x509 -req -days 365 -in example.csr -signkey example.pem -out example.crt+openssl x509 -req -days 365 -in example.csr -signkey example.key -out example.crt
 </​code>​ </​code>​
 Das erstellte Zertifikat ist somit für ein ganzes Jahr gültig. Das erstellte Zertifikat ist somit für ein ganzes Jahr gültig.
  
 === 2. Freie Zertifizierungsstelle === === 2. Freie Zertifizierungsstelle ===
-Siehe dazu die sehr guten, vorhandenen Erklärungen:​+Neben der Selbstsignierung gäbe es natürlich noch den Weg, eine der bekannten Zertifizierungsstellen wie GoDaddy oder VeriSign zu kontaktieren,​ allerdings wird das kostentechnisch ein kleiner Schock werden ;-) Es gibt allerdings auch Firmen, die gegen kleine Einschränkungen Zertifikate gratis signieren. Ein bekanntes Beispiel ist 
 +  * [[http://​www.startssl.com/​|StartSSL.com]] 
 +deren großer Vorteil ist, dass alle bekannten Browser deren Zertifikate anstandslos akzeptieren! Dann wäre da noch 
 +  * [[http://​www.cacert.org/​|CACert.org]] 
 +Vorteil: wesentlich leichter und schneller einzurichten als StartSSL, allerdings Nachteil: Browser (und andere Clients) kennen deren Root-Zertifikat nicht und erzeugen besagte Fehlermeldung. Wer also ein Zertifikat nur in kleinen Kreisen benötigt (Freundeskreis,​ nur du selbst), importiert sich deren Root-Cert und es klappt ebenfalls. ​Siehe dazu die sehr guten, vorhandenen Erklärungen:​
   * [[http://​wiki.schokokeks.org/​SSL-Zertifikat#​CAcert.org|schokokeks.org - CAcert.org]]   * [[http://​wiki.schokokeks.org/​SSL-Zertifikat#​CAcert.org|schokokeks.org - CAcert.org]]
   * [[http://​www.cacert.org/​index.php?​lang=de_DE|CAcert.org]]   * [[http://​www.cacert.org/​index.php?​lang=de_DE|CAcert.org]]
 +
 ===== Quellen===== ===== Quellen=====
   * http://​wiki.schokokeks.org/​Eigenes_SSL_Zertifikat   * http://​wiki.schokokeks.org/​Eigenes_SSL_Zertifikat