Die Anleitung von Dr. Lotz wurde leider nicht überarbeitet, deshalb hier eine Schritt-für-Schritt-Anleitung…
1. Als root einloggen.
2. openssl.conf anpassen, falls noch nicht geschehen (siehe openssl.cnf – "myWonderfulHostname" mit entsprechendem Servernamen ersetzen…). Am wichtigsten ist das commonName-Attribut!
3. Verzeichnis anlegen
cd ~ && mkdir myWonderfulHostnameCA && cd myWonderfulHostnameCA
4. Unterverzeichnisse anlegen
mkdir certs newcerts crl private && touch index.txt && echo "01" > serial
5. Jetzt wird die CA erzeugt. Zur Sicherheit commonName manuell eingeben. Passphrase gut sichern!!!
openssl req -new -x509 -keyout private/myWonderfulHostnameCA_prv_key.pem -out myWonderfulHostnameCA_cert.pem -days 3650
6. Schlüsselpaar für den Server erzeugen.
openssl req -new -keyout certs/myWonderfulHostname_prv_key.pem -out certs/myWonderfulHostname_req.pem -days 3650
7. Unverschlüsselten Key erzeugen. – Wenn dieser benutzt wird, sollte man sich um die Rechte so kümmern, dass nur die Prozesse darauf zugreifen können, die ihn benötigen! Das ginge ggf. mit ACLs.
openssl rsa < certs/myWonderfulHostname_prv_key.pem > myWonderfulHostname_prv_key-unverschluesselt.pem
8.
9. Öffentlichen Schlüssel mit privatem der CA unterschreiben:
openssl ca -policy policy_anything -notext -out certs/myWonderfulHostname_cert.pem -infiles certs/myWonderfulHostname_req.pem
10. Jetzt gehts daran, Apache unsere Files bekannt zu machen. Erst einmal /etc/httpd/conf/ssl. sichern! Apache benötigt:
- • SSLCertificateFile (default: server.crt) => Das entspricht dem von uns generierten /root/myWonderfulHostnameCA/certs/myWonderfulHostname_cert.pem.
- • SSLCertificateKeyFile (default: server.key) => Wenn wir die unverschlüsselte Version verwenden möchten (keine PW-Abfrage beim Apache reboot) nehmen wir: /root/myWonderfulHostnameCA/myWonderfulHostname_prv_key-unverschluesselt.pem , ansonsten benutzt der Hardcore-Admin bestimmt viel lieber /root/myWonderfulHostnameCA/certs/myWonderfulHostname_prv_key.pem
… Also:
mv /etc/httpd/conf/ssl.crt/server.crt /etc/httpd/conf/ssl.crt/server.crt.bak && cp /root/myWonderfulHostnameCA/certs/myWonderfulHostname_cert.pem /etc/httpd/conf/ssl.crt/server.crt
und
mv /etc/httpd/conf/ssl.key/server.key /etc/httpd/conf/ssl.key/server.key.bak && cp /root/myWonderfulHostnameCA/myWonderfulHostname_prv_key-unverschluesselt.pem /etc/httpd/conf/ssl.key/server.key
11.
12. Apache neustarten.
apachectl stop && apachectl start
Schreibe einen Kommentar