Navigation
Einträge in dieser Kategorie
- Welche Distribution verwenden Sie?
- Habe ich vollen root Zugriff auf meinen V-Server?
- Gibt es Einschränkungen?
- Kann ich "netfilter" auf einem V-Server betreiben?
- Was darf ich auf meinem V-Server laufen lassen?
- Wer ist für die Sicherheit meines V-Servers verantwortlich?
- Kann ich eine Neuinstallation meines V-Servers beantragen?
- Wie logge ich mich in meinen V-Server ein?
- Bind9 will nicht auf meinem V-Server starten.
- Kann man weitere Domains auf seinen V-Server schalten lassen?
- Ist es möglich sich für seinen V-Server einen reverse DNS Eintrag mittels des PTR Flags eintragen zu lassen ?
- Problematic Programs
- Darf ich auf meinem V-Server einen Gameserver laufen lassen?
- Ist es möglich, weitere IP Adressen für meinen V-Server zu erhalten?
- Kann ich auf meinem V-Server auch einen TeamSpeak Server laufen lassen?
- Kann ich das Betriebssystem meines V-Servers nach der Bestellung wechseln?
- Kann ich meinen V-Server upgraden, sofern ich mehr Ressourcen benötige?
- Was passiert, wenn ich meinen Inklusivtraffic verbraucht habe?
- Wie kann ich meinen V-Server neuinstallieren lassen?
- Wie kann ich meinen V-Server rebooten lassen?
- Wie lange dauert es, bis der V-Server eingerichtet ist?
- Was ist ein V-Server eigentlich?
- Bieten Sie Windows NT/2000/XP V-Server?
- Sind erotische Inhalte auf ihren V-Servern erlaubt?
- Kann ich mehrere Domains unter einer IP Adresse hosten?
- Kann ich beim V-Server meinen eigenen Kernel kompilieren?
- Sind die V-Server gemanaged, sprich ob Updates eingespielt und Sicherheitslücken gestopf werden ?
- Kann auf V-Servern ein VPN-Server wie OpenVPN installiert werden?
- Ich habe mein Root-Passwort vergessen!
- Wer ist für die Daten des V-Servers verantwortlich?
- "mc" stürzt beim starten ab mit Segmenation Fault
- Gibt es eine Administrations Software für den V-Server?
- Der Zähler für den verbrauchten Speicherplatz im Kontrollzentrum zeigt einen falschen Wert an
- Ubuntu ist eine Distribution, auf dem das root-Konto grundsätzlich kein Paßwort hat und damit auch ein Login nicht möglich ist. Stattdessen greift man in der Regel über ein anderes Konto und sudo auf root-Funktionalität zurück. Wie logge ich mich in meinem Ubuntu-vServer ein?
- Wieviel Speicherplatz belegt das Betriebssystem?
- Die Uhr auf meinen V-Server geht 2 Stunden nach. Wie kann ich das ändern?
- No space left on device: Couldn't create accept lock (/var/lock/apache2/accept.lock)
- Wie kann ich den Eintrag für das Reverse-DNS ändern?
- Hallo, wie lauten denn die Einstellungen für den FTP Zugang meines V-Servers ?
- Reboot über die Konsole funktioniert nicht.
- PHP ionCube installieren
- Auf dem Vertrag für meinen V-Server fehlt das Image mit Debian und Asterisk?
- Login-Shell per Webinterface
- SSL-Zertifikat selbst erzeugen
- Frei verwendbare DNS-Server
- Kurzanleitung zur zeitgesteuerten Ausführung von Jobs mit "at"
- Probleme nach der Umstellung auf MySQL5
- Kennen Sie eine gute Konfigurationsanleitung für Asterisk?
- Wie kann ich unter CentOS die Zeitzone ändern?
- Warum bin ich gesperrt
- Probleme mit phpBB3 nach dem Upgrade auf MySQL5
- Sicherheitsrelevante PHP-Optionen
- Was bedeutet Shared-Memory?
- PHP Load Module Warnung
- Wie lösche ich den DNS-Cache?
- Apache-Webserver schreibt "apr_socket_accept" ins error.log
- Sind die VServer IPv6 fähig?
- Was versteht man unter Load?
- Neue Regeln für SpamAssassin
- Benutzerpasswörter gegen Wörterbuchattacken schützen
- Was ist /proc/kcore ?
- Debian (sarge): sources.list
- Probleme mit klogd nach Upgrade auf Debian Lenny
- MySQL - Too many connections
- Dienst startet nicht nach einen Reboot
- Paketmanagement unter Debian mit dpkg
- Confixx-Lizenz automatisch verlängern
- Mein Asterisk kann sich nicht mehr bei SIP-Providern registrieren
- httpd Spezial Einträge für Confixx
- Apache: [warn] NameVirtualHost *:80 has no VirtualHosts
Tags
V-Server
SSL-Zertifikat selbst erzeugen
Ein SSL-Zertifikat für den Apache Webserver kann sehr schnell und leicht selbst erzeugt werden. Der einfachste Fall ist hier die Erzeugung eines selbstsignierten Zertifikats. Beim Zugriff auf eine Site, die mit einem solchen Zertifikat ausgestattet ist, wird ein Browser bei jedem Zugriff die Meldung bzw. eine Dialogbox ausgeben, die den Benutzer darüber informiert, daß das Zertifikat nicht bekannt und somit nur eingeschränkt vertrauenswürdig ist.
Diese Meldung kann mit Installation des Zertifikats im Clientbrowser verhindert werden. Alternativ kann auch ein Zertifikat erzeugt werden, daß von einer CA (Certification Authority) signiert wurde. Jetzt muß nur noch das CA-Zertifikat im Browser installiert werden, der dann alle von dieser CA signierten Zertifikate aktzeptiert. Die von den meisten Besuchern einer Webiste genutzten Browser Firefox und Microsoft Internet Explorer haben die CA-Zertifikate diverser Certification Authorities vorinstalliert, so daß ein von diesen signiertes Zertifikat (in der Defaulteinstellung) von den Browsern ohne Meldung akzeptiert wird.
Ein selbstsigniertes Zertifikat erzeugen
Das selbstsignierte Zertifikat erspart den Aufwand der Verwaltung einer CA oder die Kosten, wenn das Zertifikat von einer externen CA signiert wird. Die Erzeugung dieses Zertifikats erfolgt mit
openssl req -new -x509 -days 365 -keyout server-rsa-key.pem -out server-cert.pem
Ein von der CA signiertes Zertifikat erzeugen
Bei Nutzung eines von einer CA signierten Zertifikats wird zuerst ein Certificate Signing Request (CSR) erzeugt. Der CSR wird von der CA signiert und zurückgeschickt. Dieses Zertifikat kann dann auf dem Server installiert werden. Der CSR wird zusammen mit dem Private Key mit Hilfe von OpenSSL erzeugt:
openssl req -new -keyout server-rsa-key.pem -out server-req.pem -days 365
Wichtig ist hier, daß der korrekte Hostname des Virtuellen Hosts bei der Frage nach dem Common Name (CN) angegeben wird. Die Datei server-req.pem wird dann an die Root CA geschickt.
Den Key entschlüsseln
Wenn ein Key in verschlüsselter Form vorliegt (und mit einer Passphrase gesichert ist), muß die Passphrase bei jedem Neustart des Apache Daemons neu eingegeben werden. Wenn der Key im Klartext vorliegt, ist das nicht notwendig. Um Key zu entschlüsseln und die Passphrase zu entfernen ist der folgende Aufruf notwendig:
openssl rsa -in server-rsa-key.pem > server-key.pem
Die Passphrase wird noch einmal benötigt, um den Key zu entschlüsseln. Jetzt kann der Key geladen werden, ohne das eine Passphrase abgefragt wird.
Dann werden der Key und das zugehörige Zertifikat in das ssl Verzeichnis der Apache-Konfiguration (z.B. /etc/apache2/ssl/) verschoben.
In der httpd.conf werden Key und Zertifikat in der VHost konfiguration für den SSL-VHost eingestellt:
SSLCertificateFile /etc/apache2/ssl/server-cert.pem
SSLCertificateKeyFile /etc/apache2/ssl/server-key.pem
Weitere Konfigurationseinstellungen sind in der Konfigurationsdatei des Apache bzw. in mod_ssl ausführlich kommentiert.
Beispielkonfiguration für Apache 2.x
ServerName www.topnetworks.de
ServerAlias topnetworks.de.de
DocumentRoot /var/www
SSLEngine on SSLCertificateFile /etc/apache2/ssl/server-cert.pem
SSLCertificateKeyFile /etc/apache2/ssl/server-key.pem
SSLOptions +StdEnvVars
SSLOptions +StdEnvVars
In der Datei /etc/apache2/ports.conf muss noch ein Listen 443 eingetragen werden, damit der Apache nun auch auf dem Port für HTTPS-Anfragen lauscht.
Tags: Apache, mod_ssl, selbstsigniertes Zertifikat erzeugen, SSL, SSL-Zertifikat, Webserver
Verwandte Artikel:
- Warum kommen meine Emails verzögert an?
- Ich hab im VHCS den Reseller und den User eingerichtet inkl. FTP. Nur wo finde ich die FTP-Daten, damit man die HP hochladen kann?
- Was ist ein SSL-Zertifikat?
- Wer ist für die Sicherheit meines V-Servers verantwortlich?
- Was genau sind Fernabsatzverträge und worauf finden sie Anwendung?
Letzte Änderung des Artikels: 2010-03-24 13:44
Autor: Topnetworks e.K.
Revision: 1.36
Es ist möglich, diesen Artikel zu kommentieren.