SSL Zertifikate von CaCert.org 2


Eigene Zertifikate kann man bei CaCert.org
Signieren.

Als erstes einen Signing Request generieren :

openssl req -newkey rsa:1024 -subj /CN=www.hostname.de -nodes -keyout www.hostname.de.pem -out www.hostname.de.csr.pem

www.hostname.de.csr.pem ist dann der CertificateSigningRequest und www.hostname.pem der PrivateKey

mehrere virtuelle Hosts über ein SSL Zertifikat nutzen:

Anleitung nach CaCert-Vhost-Apache
shellscript csr runterladen alle SSL Domänen eingeben danach bekommt man einen Signing Request
den fügt man bei Cacert ein und bekommt das Zertifikat was man sich abspeichert.

die Apachekonfiguration sieht dann wie folgt aus:

NameVirtualHost 192.168.1.1:443

# SSL (START)
 SSLEngine on
 SSLCertificateFile /etc/apache2/ssl/hostname_cert.pem
 SSLCertificateKeyFile /etc/apache2/ssl/hostname_privatekey.pem
 SSLCertificateChainFile /etc/apache2/ssl/CAcert_chain.pem
 SSLCipherSuite HIGH
 SSLProtocol all -SSLv2
 # SSL (ENDE)
 ServerAdmin webmaster@hostname.de
 ServerName www.hostname.de
 ServerAlias hostname.de
 DocumentRoot /var/www.hostname.de

 AllowOverride None
 Order Deny,Allow
 Allow from all

Zertifikat im DER Format (z.B. für Mobiltelefone) erstellen:

openssl x509 -in ssl/hostname_cert.pem -out hostname_cert.crt -outform DER

Die Zertifikate auch für Imap (Courier Imapd – bei Courier Pop3d kann genauso verfahren werden) benutzen:

(bei dem Courier Mailserver müssen Zertifikat, Schlüssel und Diffie-Hellmann-Parameter in eine Datei gepackt werden s.u.)

mv /etc/courier/imapd.pem /etc/courier/imapd.pem.old

cd /etc/courier
openssl gendh > imapd.pem

cat /etc/apache2/ssl/hostname_cert.pem >>imapd.pem
cat /etc/ssl/private/hostname_privatekey.pem >>imapd.pem

Weiterführende Dokumentation:

CaCert Wiki,

howtoforge.de


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

2 Gedanken zu “SSL Zertifikate von CaCert.org

  • Pingback: sodgeblog

  • admin Autor des Beitrags

    Ich habe den Link unter weiterführende Links in den Artikel eingebaut – danke für den Hinweis – bert