Hm, danke für die super-Erläuterungen. Eine prinzipielle Frage noch:
Welche Vorteile aus sicherheitstechnischer Sicht haben Zertifikate einer CA im Gegensatz zu selbst Ausgestellten? Kann ich mit selbst ausgestellten auch mit 128 Bit verschlüsseln? Danke für die Hilfe! josef > > Hi, > > > > >gibt es gute, exakte Anleitungen (vielleicht deutsch) wie man am Apache > >unter Suse Linux mit konfiguriert, damit SSL-Verbindungen aufgebaut > werden > >können?! > > ob sie gut ist weiss ich nicht, jedoch funktioniert dies bei mir immer: > > 1. Stelle sicher, dass OpenSSL installiert ist und im PATH eingetragen > ist. > > > 2. Erzeugen des RSA private key fuer den (virtuellen) Apache Server (wird > Triple-DES verschluesselt und PEM formatiert): > > # openssl genrsa -des3 -out my.domain.at.key 1024 > > <Bildschirmausgabe> > > Generating RSA private key, 1024 bit long modulus > ........++++++ > ..........................++++++ > e is 65537 (0x10001) > Enter PEM pass phrase: -> meinPasswort > Verifying password - Enter PEM pass phrase: -> meinPasswort > > </Bildschirmausgabe> > > 1024 ist dabei die Schluessellaenge. Irgendwo habe ich gelesen, dass > mittlerweilen eine Schluessellaenge > 1024 Bit empfohlen wird. Habe > kuerzlich einen 2048 Bit Schluessel erzeugt, funzt auch. > > Vom erzeugten Keyfile my.domain.at.key ein Backup erstellen und die > eingegebene pass-phrase merken! Die Details von diesem erzeugtem RSA > private > key siehst Du folgend: > > # openssl rsa -noout -text -in my.domain.at.key > > Du kannst auch eine unverschluesselte PEM Version von diesem RSA private > key > erzeugen, wird aber nicht empfohlen: > > # openssl rsa -in my.domain.at.key -out my.domain.at.key.unsecure > > > 3. Einen _Certificate Signing Request_ (CSR) mit dem RSA private key > erzeugen (Ausgabe ist PEM formatiert): > > # openssl req -new -key my.domain.at.key -out my.domain.at.csr > > Bei der Frage _CommonName_ musst Du die URL Deiner Seite eintragen. zB. > https://my.domain.at -> CommonName = my.domain.at. > > <Bildschirmausgabe> > > Using configuration from /usr/lib/ssl/openssl.cnf > Enter PEM pass phrase: -> meinPasswort > You are about to be asked to enter information that will be incorporated > into your certificate request. > What you are about to enter is what is called a Distinguished Name or a > DN. > There are quite a few fields but you can leave some blank > For some fields there will be a default value, > If you enter '.', the field will be left blank. > ----- > Country Name (2 letter code) [AU]: -> AT > State or Province Name (full name) [Some-State]: -> Vienna > Locality Name (eg, city) []: -> Vienna > Organization Name (eg, company) [Internet Widgits Pty Ltd]: -> meineFirma > Organizational Unit Name (eg, section) []: -> meineAbteilung > Common Name (eg, YOUR name) []: -> my.domain.at > Email Address []: -> [EMAIL PROTECTED] > > Please enter the following 'extra' attributes > to be sent with your certificate request > A challenge password []: -> zusaetzlichesPasswortZumMerken > An optional company name []: -> kann leer gelassen werden > > </Bildschirmausgabe> > > Die Details von diesem CSR kannst Du via > > # openssl req -noout -text -in my.domain.at.csr > > abrufen. > > > 4. Dieses CSR nun an eine _Certifying Authorithy_ (CA) senden, oder sich > selbst zertifizieren. > Wenn man keine unschoenen Warnmeldungen beim Aufrufen der SSL-Site haben > will, sollte man sich an einen kommerziellen Anbieter wenden, zB: > > Versign (http://digitalid.verisign.com/server/apacheNotice.html) > Thawte (http://www.thawte.com/certs/server/request.html) > > > Diese bestaetigen, dass Du auch Du bist und schicken Dir das Zertifikat > my.domain.at.crt. Das stellst dann zb. nach /etc/apache/ssl und gibst den > Pfad in die httpd.conf ein. > > > LG , Peter > > > -------------------------------------------------------------------------- > Apache HTTP Server Mailing List "users-de" > unsubscribe-Anfragen an [EMAIL PROTECTED] > sonstige Anfragen an [EMAIL PROTECTED] > -------------------------------------------------------------------------- > -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen!
