Installation des TLS-Zertifikats auf den Apache-Server
Diese Anleitung zeigt Ihnen, wie man auf dem Apache-Server mit Hilfe der freien Software OpenSSL, die sich für alle Server nutzen lässt, einen öffentlichen Schlüssel erstellt und das neu ausgestellte TLS-Zertifikat installiert.
Erstellung des öffentlichen Schlüssels auf dem Apache-Server (OpenSSL)
Zur Generierung des Zertifikatsantrags (öffentlichen Schlüssels) und Privatschlüssels wird die Software OpenSSL benutzt, die Sie meistens unter /usr/local/ssl/bin finden.
Im ersten Schritt erzeugen Sie das Schlüsselpaar (key pair). Schreiben Sie in die Kommandozeile ein:
openssl genrsa –des3 –out www.mydomain.com.key 2048
Dank dem Parameter "-des3" ist es möglich, eine Passphrase für den Privatschlüssel zu erstellen; falls Sie diesen Parameter nicht benutzen, bleibt der Privatschlüssel ungeschützt.
Im zweiten Schritt erstellen Sie den CSR. CSR mit dem privaten Schlüssel können Sie auch in Ihrer SSLmarket-Verwaltung erstellen und den privaten Schlüssel für die spätere Installierung speichern.
openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr
Danach sind die konkreten Angaben zum CSR einzuschreiben. Geben Sie die Daten ohne Umlaute an:
Common Name: Als Common Name wird die Domain bezeichnet, für welche das TLS-Zertifikat ausgestellt wird.Company / Organization: Schreiben Sie den ganzen Namen der Organisation ein, sowie es im Handelsregister steht, einschließlich ihrer Rechtsform.
Organizational Unit: Dies ist kein Pflichtfeld. Es wird für eine Abteilung oder Niederlassung der Organisation genutzt.
Locality / City: Stadt
State / Province: Geben Sie Germany oder Austria an
Country Name: Staatscode, DE bzw. AT
Beispiel eines richtig ausgefüllten CSR
- CN: www.sslmarket.de
- OU: Software
- O: ZONER a.s.
- ST: Berlin
- C: DE
- L: Berlin
Zum CSR schreiben Sie keine E-Mailadresse, Passwort oder optional company name zu. OpenSSL wird eine CSR-Datei erstellen, die Sie Ihrer Bestellung des TLS-Zertifikats im SSLmarket.de hinzufügen.
Installierung des ausgestellten Zertifikats auf den Server
Erste Schritte
Falls Sie das Zertifikat auf einen Server installieren, wo die Konfiguration von Apache bisher nicht angepasst wurde, aktivieren Sie zuerst HTTPS und die Default-Site für die TLS-Verbindung. Ohne diese zwei Basis-Schritte würde HTTPS überhaupt nicht funktionieren.
Geben Sie in das Terminal ein:
sudo a2enmod ssl
Dadurch wird HTTPS aktiviert.
Danach aktivieren Sie die Default-Site für die abgesicherte Verbindung, sonst wird Apache nur die Default-Site mit HTTP nutzen:
sudo a2ensite default-ssl
Starten Sie Apache neu, damit der Server HTTP sowie HTTPS nutzen kann.
systemctl restart apache2
Zertifikat und Intermediate speichern
Das ausgestellte TLS-Zertifikat wird Ihnen per E-Mail zugestellt. Das Zertifikat erhalten Sie in einem im Format Base64 kodierten Textformat. Die von uns zugesendete Datei linux_cert+ca.pem speichern Sie oder kopieren Sie sie auf den Server.
In der Datei linux_cert+ca.pem ist das Zertifikat für die Domain sowie das Intermediate Zertifikat enthalten. In einer Datei sind sie deshalb zusammen gespeichert, weil die Webserver die Zertifikate zusammen erfordern und weil wir Ihnen die einzelnen Schritte ersparen möchten. Das Intermediate Zertifikat schafft die Vertrauenswürdigkeit des Zertifikats auf den Client-Geräten, Sie brauchen es aber nicht auszusuchen und in die Konfiguration zu ergänzen.
Konfiguration des VHost
Damit das gelieferte Zertifikat genutzt werden kann, muss die Konfiguration des virtuellen Host für die gegebene Domain angepasst werden. Für das Editieren öffnen Sie die Konfigurationsdatei default-ssl.conf (oder domain-ssl.conf) (sie sollte in /etc/apache2/sites-enabled platziert sein, falls nicht, kehren Sie zu dem Abschnitt Erste Schritte zurück) und in den folgenden zwei Direktiven passen Sie den Speicherort der Dateien mit dem privaten Schlüssel und mit dem Zertifikat an, die genutzt werden sollen:
- SSLCertificateFile /etc/ssl/private/linux_cert+ca.pem
- SSLCertificateKeyFile /etc/ssl/private/private.key
sudo apache2ctl configtest
Schließlich starten Sie Apache neu:
sudo systemctl restart apache2
Beispiel der Server-Konfiguration
Auf dem Webserver Apache werden die aktivierten und genutzten Konfigurationen in den Ordner /etc2/apache2/sites-enabled gespeichert. Hier führen wir ein typisches Beispiel der Server-Konfiguration in der Datei default-ssl.conf auf:
SSLEngine on
SSLCertificateFile /etc/ssl/private/domain.pem
SSLCertificateKeyFile /etc/ssl/private/domain.key
Falls Sie sich die Konfiguration des Webservers erleichtern möchten, nutzen Sie moz://a SSL Configuration Generator. Das Tool wird Ihnen eine richtige Einstellung für die Absicherung des Webservers empfehlen.
Die Richtigkeit der Installation des TLS-Zertifikats können Sie mit unserem Tool überprüfen.
Überfordert mit Informationen?
089 - 954571 38
Es tut uns leid, dass Sie hier für Ihren Bedarf nichts Passendes gefunden haben.
Helfen Sie uns, diesen Artikel zu verbessern. Schreiben Sie uns bitte, was Sie hier erwartet und nicht erfahren haben.