SSL-Zertifikat installieren
Inhaltsverzeichnis |
Installation eines SSL-Zertifikates (Linux/Apache2)
1. Generierung des Certificate Signing Request (CSR), unverschlüsselt:
> openssl req -new -nodes -keyout servername.unsecure.key -out servername.csr
Es werden zwei Dateien erzeugt: Der geheime Schlüssel (.key) und die öffentliche Zertifikats-Anforderung (.csr). Der erstellte Schlüssel (.key) ist noch unverschlüsselt.
Wichtig: Der "Common Name" muss der Domainname sein, auf den das Zertifikat ausgestellt wird (z. B. www.example.com). Das Zertifikat gilt dann nur für www.example.com, nicht für example.com oder demo.example.com.
2. Mit dem folgenden Befehl erzeugen Sie eine weitere Datei, die den gerade erzeugten Key in verschlüsselter Form enthält.
> openssl rsa -in servername.unsecure.key -out servername.secure.key
3. Setzen Sie die Rechte der Schlüssel-Dateien unbedingt auf 0400 (nur durch root lesbar)!
> chmod 0400 servername.unsecure.key > chmod 0400 servername.secure.key
4. Der Inhalt der CSR-Datei muss jetzt zur Certificate Authority (CA) Ihrer Wahl gesendet werden. (Thawte, GeoTrust, VeriSign, ...)
Zertifikatsanbieter
Kostenlose SSL-Zertifikate sind unter https://www.startssl.com erhältlich. Zertifikate von startssl.com funktionieren in den moderneren Internet Explorers und Firefox Versionen. Ein weiteres kostenloses Konzept ist das von CACert.org. Zudem gibt es viele kommerzielle Anbieter, die SSL-Zertifikate für eine jährliche Gebühr anbieten.
mögliche Schwierigkeiten
"" is not a valid ISO-3166 country code
Beim "Verlängern" eines Zertifikates über die Einstellungsseiten des IIS kann es bei Übergabe des CSR an die Zertifizierungsstelle zu dieser Fehlermeldung kommen. Umgehen lässt sich dies dadurch, dass das Zertifikat zunächst vom IIS "entfernt" und dann ein neues generiert wird.
