Hallo,
ich kenne mich wohl mit dem lighttpd nicht aus, ich
denke aber, dass ich mit folgenden Aussagen
richtig liege:
>> ssl.ca-file = "/etc/lighttpd/ssl/ca-bundle.csr"
>> server.name = "www.deinserver.local"
>> server.document-root = "/var/www/usw/"
>> }
>
> Ok, danke! Wozu braucht man denn das ca-file, und was macht
> server.document-root?
1) Zuerst zu server.document-root :
Du willst hier ja einen Webserver laufen lassen, irgendwo
müssen die Webseiten dann ja auch abgelegt werden und
server.document-root müsste einfach der Pfad auf
deiner Kiste sein, wo die ganzen HTML-Seiten, CSS,
PHP-Skripte usw. liegen.
2) Nun zum ca-file:
HTTPS-Verbindungen sind ganz normale HTTP-Anfragen und
-Antworten, welche über SSL/TLS getunnelt werden.
Wie bei SSH findet hier eine Public-Key-Authentifizierung
statt. Hierzu benötigst du auf dem Server den Private-Key
welcher für die Verschlüsselung benötigt wird.
Damit im Browser jedoch nicht bei allen Benutzern eine
Sicherheitsmeldung kommt, kann der Schlüssel von einer
Zertifizierungsstelle signiert sein. Diese Zertifikate
sind gewöhnlich in den Browsern schon installiert
und werden durch Updates ab und an erneuert
(z.B. mit Browser-Update bzw. mit Windows-Update).
Nun braucht der Webbrowser nur noch den Hostnamen
und das Zertifikat zu vergleichen und bringt einen
Sicherheitshinweis, wenn diese nicht übereinstimmen
oder der Schlüssel von keiner CA unterschrieben wurde.
Da man sich außer mit CAcert keine solchen Zertifikate
leisten kann, ist es auch möglich im Browser den
unsignierten Schlüssel des eigenen Webbrowsers
zu installieren.
Dieser Schlüssel muß aber erst mal vorhanden sein,
auch wenn er dann nicht von einer offiziellen CA
abgesegnet worden ist. Wie die Schlüsselerstellung
bei lighttpd geht, weiß ich nicht. Vielleicht steht es
in der Manpage
Näheres zu SSL/TLS usw. bitte in Wikipedia
und über Google nachschauen...
> Und dann habe ich die Idee, daß ich doch eigentlich auch den https auf
> 80 laufen lassen könnte und den 443 frei für was anderes habe. Oder
> geht das dann wieder mit Proxys nicht?
Verschlüsselte Verbindungen über einen Proxy sind
immer eine nicht so einfache Sache, das kommt auf
die Proxy-Konfiguration an. (siehe z.B. im
Debian-Forum: Transparenter Squid und https-Seiten
http://www.debianforum.de/forum/viewtopic.php?t=65898)
Was ein Webbrowser hierzu sagt, wenn dort plötzlich
nicht mehr Port 443 verwendet wird kann ich jetzt
grad nicht so pauschal für alle Webbrowser sagen,
sollte aber eigentlich funktionieren.
Gruß Sven
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
