SSL Zertifikat erstellen

Aus Triopsi Wiki
Wechseln zu: Navigation, Suche

ISPConfig SSL

Dieses Tutorial beschreibt, wie man in ISPConfig SSL aktiviert.

Schlüssel erstellen

Um ein OpenSSL Zertifikat zu erstellen, führen Sie folgende Schritte sorgfältig aus.

Wechseln Sie in das SSL Verzeichnis von ISPCONFIG:

  1. cd /usr/local/ispconfig/interface/ssl

Danach erstellen Sie den Schlüssel:

  1. openssl genrsa -des3 -out ispserver.key 4096
  2. openssl req -new -key ispserver.key -out ispserver.csr
  3. openssl x509 -req -days 3650 -in ispserver.csr \
  4. -signkey ispserver.key -out ispserver.crt
  5. openssl rsa -in ispserver.key -out ispserver.key.insecure
  6. mv ispserver.key ispserver.key.secure
  7. mv ispserver.key.insecure ispserver.key

Bearbeiten Sie nun die entsprechende .vhost Datei. Fügen Sie folgendes ein:

  1. SSLEngine On
  2. SSLCertificateFile /usr/local/ispconfig/interface/ssl/ispserver.crt
  3. SSLCertificateKeyFile /usr/local/ispconfig/interface/ssl/ispserver.key

Starten Sie nun den Apache Server neu:

/etc/init.d/apache2 restart

SSL Zertifikat für eine Webseite erstellen

Geben Sie folgenden Befehl ein:

openssl genrsa -des3 -out www.domain.de.key 2048

Wichtig: Möchten Sie kein passphrase verwenden, löschen Sie den Befehl –des3.

ACHTUNG! Löschen Sie den Zusatz, so ist der private Schlüssel nicht geschützt!

Für CA

Nachdem Sie den Privaten Schlüssel erstell haben, benötigen wir nun ein CSR. Geben sie dazu folgendes ein:

openssl req -new -key www.domain.de.key -out www.irhedomain.de.csr

Nun werden Sie auf folgendes gefragt:

  • [country name] Ländercode mit zwei Buchstaben: z.B DE
  • [state or province name] Bundesland: z.B Hessen
  • [locality name] Stadt: z.B Wiesbaden
  • [organization name] Unternehmensname: z.B Mein Unternehmen
  • [organisation unit name] Abteilung: z.B IT
  • [commom name] Domainname: www.domain.de

Sollten sie nach folgenden Eigenschaften gefragt, so antworten Sie NICHT! und drücken dies mit [ENTER] weiter:

  • [email address] E-Mail Adresse
  • [challenge password] Challenge-Passwort
  • [optional company name] Optionaler Unternehmensname

ACHTUNG! Die im Common enthaltenen namen muss exakt die Domain ausgeführt sein, die später das SSL Zertifikat bekommt. Sollte eine abweichende Domain angeben sein, so wird es später zu einem Zertifikatfehler kommen.

Für APACHE

FÜr den Apache sieht der Befehl so aus:

openssl req -new -x509 -key /etc/ssl/private/apache.key -nodes -days 365 -sha256 -out /etc/ssl/certs/apache.crt

Testen

Überprüfen sie Ihr Zertifikat mit dem Befehl:

openssl req -noout -text -in www.domain.de.csr

E-Mail

#Privater Key Erzeugen
openssl genrsa -rand /etc/hosts -out imap.key 2048

chmod 600 imap.key

#Request Erzeugen und mit Fingerabdruck signieren
openssl req -new -key imap.key -out imap.csr

#Beim CA Signieren
openssl x509 -req -days 3650 -in imap.csr -signkey imap.key -out imap.crt

#
openssl rsa -in imap.key -out imap.key.unencrypted

#
mv -f imap.key.unencrypted imap.key

openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650