SSL-Zertifikat für Web anlegen

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von hahni, 19. März 2010.

  1. hahni

    hahni Active Member

    Hallo zusammen,

    für ein Web benötige ich ein SSL-Zertifikat. Was genau muss getan werden, um den Key und dann das Zertifikat zu erhalten?

    Eine weitere IP ist vorhanden. Die muss ich ja einmal bei den Netzwerkeinstellungen hinterlegen, damit diese dann auch in ISPConfig zur Verfügung steht.

    Dann natürlich genau für dieses Web auch die entsprechende IP hinterlegen. Doch wie genau läuft das mit den Zertifikaten? Wo muss der Key und das Zertifikat abgelegt werden etc.?

    Viele Grüße

    Hahni
     
  2. Till

    Till Administrator

    Du erstellst ein neues Zertifikat direkt in ISPConfig auf dem SSL Reiter der Webseite.
    1) Daten für Zertifikat eingeben.
    2) Zertifikat erstellen als Aktion auswählen und auf speichern klicken. Dann ein paar Minuten warten.
    3) Dann nimmst Du das csr das erstelt wurde und reichst es zum signieren bei der SSL authority ein.
    4) Das SSL Cert was Du zurück bekommst, fügst Du in das cert Feld in ispconfig ein, wählst als Aktion speichern aus und klickst auf speichern.
     
  3. hahni

    hahni Active Member

    Also die Felder erscheinen erst, wenn ich den Haken "SSL" gesetzt habe und dann das Web zwischenzeitlich gespeichert habe?
     
  4. Till

    Till Administrator

    Genau. Du musst erstmal ssl für die Webseite aktivieren.
     
  5. hahni

    hahni Active Member

    Ich probiere morgen mein Glück. Denn die Domain ist erst heute in unseren Bestand gewandert. Habe mir schon gedacht, dass dies genau wie bei den Cron-Jobs ein verschachteltes Menü ist :)
     
  6. hahni

    hahni Active Member

    Das generierte File kann ja auch eher erzeugt werden. Aber kollidiert das dann vom Zeitraum nicht mit dem, welches der Zertifizierer ausstellt? Die laufen ja meist 1 Jahr. Werde das dann nämlich morgen mal probieren. Es sei denn, es funktioniert so nicht. Die Bearbeitung dauert ja meist auch noch seine Zeit...
     
  7. Till

    Till Administrator

    Nein, das ist kein Problem, da das CSR garnicht das datum enthält. Du kannst das selbe CSR jedes mal wieder zur Beantragung eines neuen SSL Certs nehemn, sogar nach jahren, solange sich nichts an den Angaben zur Domain geändert hat.
     
  8. pee

    pee New Member

  9. hahni

    hahni Active Member

    @Till
    Vielen Dank für deine Hilfe. Habe den Request einmal erzeugt und werde morgen das Zertifikat bestellen. Mal sehen, ob das dann auch noch klappt. Dann muss ja nur der Key in das mehrzeilige Textfeld kopiert werden, richtig?

    @pee
    Die Anleitung ist zwar für ISPConfig 3, aber es sieht bei ISPConfig 2 relativ ähnlich aus. Mal schauen, obs klappt :D
     
  10. hahni

    hahni Active Member

    Die Firmierung wird im Zertifikat vom CSR abweichen. Der Aussteller hat sich daran gestört. Ändern geht aber nicht, weil ISPConfig keine " und & mag. Ist das schlimm, wenn CSR und Zertifikat nicht identisch sind? Wenn ja, wie kann ich das dann bei ISPConfig richtig hinterlegen?
     
  11. Till

    Till Administrator

    Zertifikat und csr sind niemals verschieden da der Inhalt des zertifikates auf den Angaben des csr basiert. Du kannst also höchstens ein ssl Cert manuell erstellen, musst Dann ber auch das key file etc. manuell austauschen, sonst startet der apache nicht mehr.
     
  12. hahni

    hahni Active Member

    Mit Keyfile austauschen meinst du den Wert des CSR überschreiben? Wenn dies der Zertifizierer ausstellt, dann sollte ich von ihm auch CSR und SSL bekommen, oder?

    Merkt ISPConfig, wenn da was nicht stimmt oder bleibt dann gleich die ganze Kiste stehen und nix geht mehr?
     
  13. Till

    Till Administrator

    Nein, mit keyfile tauschen meine ich den Austausch des Key files welches Du im ssl Ordner der Webseite findest.

    ispconfig merlt das nicht, da es mit httpd -t nicht getestet werden kann. apache startet dann nicht mehr wenn da was nicht stimmt. Also mach vorher ein Backup des ssl Ordner der Webseite.
     
  14. hahni

    hahni Active Member

    Hallo Till,

    und wo bekomme ich das Keyfile her, um es austauschen zu können? Wenn beim nächsten Reboot der Apache nicht starten kann, steht dann die ganze Maschine und ich kann nichts mehr machen?

    Viele Grüße

    Hahni
     
  15. Till

    Till Administrator

    Das musst Du manuelle uf der Shell erstellen. Die Forma bei der Du Dir das SSL Cert besorgst, hat da sicherlich eine Anleitung dafür.

    Da solltest Du vorher ein backup des ssl Ordners erstellen.
     
  16. hahni

    hahni Active Member

    Also kann ich jederzeit durch reinkopieren der alten Dateien den Apache wieder lauffähig halten/bekommen?

    Wie kann ich ohne Neustart testen, ob das Zertifikat passt? Einfach den Apache restarten?
     
  17. hahni

    hahni Active Member

    Habe das neue Zertifikat in das Textfeld eingefügt. Wenn ich statt http dann https eingebe, kommt die Meldung, das Zertifikat sei ungültig. Muss irgendetwas neu gestartet werden? Außerdem soll es immer so sein, dass https automatisch ausgeführt wird. Und nicht nur, wenn der Benutzer den Protokolltyp ändert. Geht dies auch?
     
  18. hahni

    hahni Active Member

    Habe den Request neu erzeugt, damit der Firmenname im Zertifikat mit dem im Request übereinstimmt. Wenn ich den SSL-Modus manuell anwähle (automatisch geht leider nicht) kommt trotzdem folgende Fehlermeldung:

    --
    www.domain.eu verwendet ein ungültiges Sicherheitszertifikat.

    Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

    (Fehlercode: sec_error_untrusted_issuer)
    --

    Request und Zertifikat sind die aktuelle Version und als ich das Zertifikat eingefügt habe, bin ich auf "Zertifikat speichern" gegangen. Sonst nichts.

    Und bei "http -t" erscheint:

    --
    httpd -t
    httpd: bad user name ${APACHE_RUN_USER}
    --
     
    Zuletzt bearbeitet: 31. März 2010
  19. Till

    Till Administrator

    Hast Du denn das signierte ssl cert des Anbieters bereits in ispconfig eingefügt und als Aktion speichern gewählt bzw. es manuell im ssl folder gespeichert?
     
  20. hahni

    hahni Active Member

    Ja, in ISPConfig2 und anschließend auf Speichern gegangen...
     

Diese Seite empfehlen