SSL-Zertifikat für Web anlegen

[hahni]

Hallo zusammen,

für ein Web benötige ich ein SSL-Zertifikat. Was genau muss getan werden, um den Key und dann das Zertifikat zu erhalten?

Eine weitere IP ist vorhanden. Die muss ich ja einmal bei den Netzwerkeinstellungen hinterlegen, damit diese dann auch in ISPConfig zur Verfügung steht.

Dann natürlich genau für dieses Web auch die entsprechende IP hinterlegen. Doch wie genau läuft das mit den Zertifikaten? Wo muss der Key und das Zertifikat abgelegt werden etc.?

Viele Grüße

Hahni

 

[Till]

Du erstellst ein neues Zertifikat direkt in ISPConfig auf dem SSL Reiter der Webseite.
1) Daten für Zertifikat eingeben.
2) Zertifikat erstellen als Aktion auswählen und auf speichern klicken. Dann ein paar Minuten warten.
3) Dann nimmst Du das csr das erstelt wurde und reichst es zum signieren bei der SSL authority ein.
4) Das SSL Cert was Du zurück bekommst, fügst Du in das cert Feld in ispconfig ein, wählst als Aktion speichern aus und klickst auf speichern.

 

[hahni]

Also die Felder erscheinen erst, wenn ich den Haken "SSL" gesetzt habe und dann das Web zwischenzeitlich gespeichert habe?

 

[Till]

Genau. Du musst erstmal ssl für die Webseite aktivieren.

 

[hahni]

Ich probiere morgen mein Glück. Denn die Domain ist erst heute in unseren Bestand gewandert. Habe mir schon gedacht, dass dies genau wie bei den Cron-Jobs ein verschachteltes Menü ist

 

[hahni]

Das generierte File kann ja auch eher erzeugt werden. Aber kollidiert das dann vom Zeitraum nicht mit dem, welches der Zertifizierer ausstellt? Die laufen ja meist 1 Jahr. Werde das dann nämlich morgen mal probieren. Es sei denn, es funktioniert so nicht. Die Bearbeitung dauert ja meist auch noch seine Zeit...

 

[Till]

Aber kollidiert das dann vom Zeitraum nicht mit dem, welches der Zertifizierer ausstellt?

Nein, das ist kein Problem, da das CSR garnicht das datum enthält. Du kannst das selbe CSR jedes mal wieder zur Beantragung eines neuen SSL Certs nehemn, sogar nach jahren, solange sich nichts an den Angaben zur Domain geändert hat.

 

[pee]

http://ispc-wiki.org/ispconfig3-anleitung#ssl_zertifikate

 

[hahni]

@Till
Vielen Dank für deine Hilfe. Habe den Request einmal erzeugt und werde morgen das Zertifikat bestellen. Mal sehen, ob das dann auch noch klappt. Dann muss ja nur der Key in das mehrzeilige Textfeld kopiert werden, richtig?

@pee
Die Anleitung ist zwar für ISPConfig 3, aber es sieht bei ISPConfig 2 relativ ähnlich aus. Mal schauen, obs klappt

 

[hahni]

Die Firmierung wird im Zertifikat vom CSR abweichen. Der Aussteller hat sich daran gestört. Ändern geht aber nicht, weil ISPConfig keine " und & mag. Ist das schlimm, wenn CSR und Zertifikat nicht identisch sind? Wenn ja, wie kann ich das dann bei ISPConfig richtig hinterlegen?

 

[Till]

Zertifikat und csr sind niemals verschieden da der Inhalt des zertifikates auf den Angaben des csr basiert. Du kannst also höchstens ein ssl Cert manuell erstellen, musst Dann ber auch das key file etc. manuell austauschen, sonst startet der apache nicht mehr.

 

[hahni]

Mit Keyfile austauschen meinst du den Wert des CSR überschreiben? Wenn dies der Zertifizierer ausstellt, dann sollte ich von ihm auch CSR und SSL bekommen, oder?

Merkt ISPConfig, wenn da was nicht stimmt oder bleibt dann gleich die ganze Kiste stehen und nix geht mehr?

 

[Till]

Nein, mit keyfile tauschen meine ich den Austausch des Key files welches Du im ssl Ordner der Webseite findest.

Merkt ISPConfig, wenn da was nicht stimmt oder bleibt dann gleich die ganze Kiste stehen und nix geht mehr?

ispconfig merlt das nicht, da es mit httpd -t nicht getestet werden kann. apache startet dann nicht mehr wenn da was nicht stimmt. Also mach vorher ein Backup des ssl Ordner der Webseite.

 

[hahni]

Hallo Till,

und wo bekomme ich das Keyfile her, um es austauschen zu können? Wenn beim nächsten Reboot der Apache nicht starten kann, steht dann die ganze Maschine und ich kann nichts mehr machen?

Viele Grüße

Hahni

 

[Till]

und wo bekomme ich das Keyfile her, um es austauschen zu können?

Das musst Du manuelle uf der Shell erstellen. Die Forma bei der Du Dir das SSL Cert besorgst, hat da sicherlich eine Anleitung dafür.

Wenn beim nächsten Reboot der Apache nicht starten kann, steht dann die ganze Maschine und ich kann nichts mehr machen?

Da solltest Du vorher ein backup des ssl Ordners erstellen.

 

[hahni]

Also kann ich jederzeit durch reinkopieren der alten Dateien den Apache wieder lauffähig halten/bekommen?

Wie kann ich ohne Neustart testen, ob das Zertifikat passt? Einfach den Apache restarten?

 

[hahni]

Habe das neue Zertifikat in das Textfeld eingefügt. Wenn ich statt http dann https eingebe, kommt die Meldung, das Zertifikat sei ungültig. Muss irgendetwas neu gestartet werden? Außerdem soll es immer so sein, dass https automatisch ausgeführt wird. Und nicht nur, wenn der Benutzer den Protokolltyp ändert. Geht dies auch?

 

[hahni]

Habe den Request neu erzeugt, damit der Firmenname im Zertifikat mit dem im Request übereinstimmt. Wenn ich den SSL-Modus manuell anwähle (automatisch geht leider nicht) kommt trotzdem folgende Fehlermeldung:

--
www.domain.eu verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

(Fehlercode: sec_error_untrusted_issuer)
--

Request und Zertifikat sind die aktuelle Version und als ich das Zertifikat eingefügt habe, bin ich auf "Zertifikat speichern" gegangen. Sonst nichts.

Und bei "http -t" erscheint:

--
httpd -t
httpd: bad user name ${APACHE_RUN_USER}
--

 

[Till]

Hast Du denn das signierte ssl cert des Anbieters bereits in ispconfig eingefügt und als Aktion speichern gewählt bzw. es manuell im ssl folder gespeichert?

 

[hahni]

Ja, in ISPConfig2 und anschließend auf Speichern gegangen...