Benutzer-Anleitung für Server-Zertifikate (OpenSSL)

Einpflegen von Zertifikat und privatem Schlüssel in den Server

  • Um Ihr neues Server-Zertifikat nutzen zu können, müssen Sie es dem Serverdienst bekannt machen. Dies geschieht in der Konfigurationsdatei des Dienstes.

  • Da es sich bei dem Zertifikat um ein Server-Zertifikat handelt, das von mehreren Diensten genutzt werden kann, sollte es in einem zentralen Verzeichnis (z.B.: /etc/ssl/ ) hinterlegt werden. In diesem Verzeichnis kann auch der private Schlüssel hinterlegt werden. Achten Sie bitte darauf, das nur Root und der Nutzer, der den Dienst (z.B.: wwwrun für den Serverdämon des Apache-Webservers) betreibt, Leserechte für den privaten Schlüssel haben.

  • Nachdem Sie nun Ihren privaten Schlüssel und Ihr Zertifikat gespeichert haben, müssen Sie zusätzlich das CA-Zertifikat DFN-Verein Certification Authority 2 und das Wurzelzertifikat T-Telesec Global Root Class 2 installieren.
  • Sie sollten jeweils den Fingerprint der CA-Zertifikate überprüfen.
    Fingerprints und mehr Infos, siehe "Wurzelzertifikate".
  • Die Fingerprints dienen zum Abgleich des geladenen Zertifikates mit den Angaben des Ausstellers. Je nachdem, wem Sie bei der Überprüfung dieser Fingerprints vertrauen wollen, verlassen Sie sich auf die Angaben der oben genannten Links, schauen auf der Homepage des Ausstellers nach oder, wenn Sie den ganzen Internet-Verkehr für unsicher halten, Sie rufen beim Aussteller an und lassen sich den Fingerprint durchgeben.

  • Zur Anzeige des Fingerprints können Sie OpenSSL wie folgt aufrufen:
openssl x509 -in <CA-Zertifikat.pem> -fingerprint -sha1 -noout
  • Um die vorhandene Kette von CA-Zertifikaten für den Server bereitzustellen, kann man entweder jedes einzelne Zertifikat in der Konfigurationsdatei angeben oder man erzeugt sich mit Hilfe des UNIX-Kommandos cat eine Datei, die alle notwendigen CA-Zertifikate enthält.

    • Beispiel für den Apache-Webserver
server # cat root-ca-cert.pem  inter-cacert.pem cacert.pem >> ca-bundle.crt
  • Nach der  Installation der Zertifikate muss der Dienst natürlich neu gestartet werden, damit die Konfigurationsdatei erneut eingelesen wird.

Nützliche Informationen zum Thema Zertifikate (externe Links)