Benutzer-Anleitung für Server-Zertifikate (OpenSSL)

Einpflegen von Zertifikat und privatem Schlüssel in den Server

  • Um Ihr neues Server-Zertifikat nutzen zu können, müssen Sie es dem Serverdienst bekannt machen. Dies geschieht in der Konfigurationsdatei des Dienstes.

  • Da es sich bei dem Zertifikat um ein Server-Zertifikat handelt, das von mehreren Diensten genutzt werden kann, sollte es in einem zentralen Verzeichnis (z.B.: /etc/ssl/ ) hinterlegt werden. In diesem Verzeichnis kann auch der private Schlüssel hinterlegt werden. Achten Sie bitte darauf, das nur Root und der Nutzer, der den Dienst (z.B.: wwwrun für den Serverdämon des Apache-Webservers) betreibt, Leserechte für den privaten Schlüssel haben.

  • Nachdem Sie nun Ihren privaten Schlüssel und Ihr Zertifikat gespeichert haben, müssen Sie zusätzlich das Zertifikat der DFN-PCA und das Zertifikat der Deutschen Telekom Root CA2 installieren.
  • Sie sollten jeweils den Fingerprint der CA-Zertifikate überprüfen (s.o.).
  • Die Fingerprints dienen zum Abgleich des geladenen Zertifikates mit den Angaben des Ausstellers. Je nachdem, wem Sie bei der Überprüfung dieser Fingerprints vertrauen wollen, verlassen Sie sich auf die Angaben der oben genannten Links, schauen auf der Homepage des Ausstellers nach oder, wenn Sie den ganzen Internet-Verkehr für unsicher halten, Sie rufen beim Aussteller an und lassen sich den Fingerprint durchgeben.

  • Zur Anzeige des Fingerprints können Sie OpenSSL wie folgt aufrufen:
openssl x509 -in <CA-Zertifikat.pem> -fingerprint -sha1 -noout
  • Um die vorhandene Kette von CA-Zertifikaten für den Server bereitzustellen, kann man entweder jedes einzelne Zertifikat in der Konfigurationsdatei angeben oder man erzeugt sich mit Hilfe des UNIX-Kommandos cat eine Datei, die alle notwendigen CA-Zertifikate enthält.

    • Beispiel für den Apache-Webserver:

     

server # cat root-ca-cert.pem  inter-cacert.pem cacert.pem >> ca-bundle.crt
  • Nach der  Installation der Zertifikate muss der Dienst natürlich neu gestartet werden, damit die Konfigurationsdatei erneut eingelesen wird.

Da wir nicht wissen können, mit welchem Betriebssystem (und -version) Sie arbeiten, bieten wir ihnen an dieser Stelle noch zwei weiterführende Verweise (Links) zu anderen Seiten, die evtl. weiter helfen.