- SSL leicht gemacht – Zertifikat einbinden (Apache2)
- SSL leicht gemacht – CSR und Keyfile erstellen und Zertifikat ordern
- SSL leicht gemacht – forcierte Weiterleitung von HTTP auf HTTPS einrichten
- Realisierung einer clientbasierten Zertifikats-Authentifizierung (Mutual SSL) mit selbstsignierten Zertifikaten auf Linux + Apache
- SSL leicht gemacht – Zusammengehörigkeit von Zertifikaten überprüfen
In meinem letzten Blogpost habe ich über die Erstellung eines Keyfiles und eines CSR geschrieben. Im zweiten Teil meiner Serie SSL leicht gemacht zeige ich den nächsten Schritt und beschreibe die Einrichtung des Zertifikates mittels der Webserversoftware Apache.
Bestandsaufnahme:
nun sollten folgende Dateien vorhanden sein
- selbst erstellt
- CSR (in unserem Beispiel netways.de.csr)
- Privatekey (netways.de.key)
- von Zertifizierungsstelle erstellt und übermittelt
- cert.cabundle
- certificate.crt
Diese Zertifikatsdateien können jetzt auf dem Webserver eingerichtet werden.
Als nächstes werden die Zertifikatsdateien im korrekten Verzeichnis abgelegt. Hierzu eignet sich zum Beispiel /etc/apache2/ssl/netways.de/. Hier sollte die Zusammengehörigkeit der einzelnen Dateien noch einmal überprüft werden. Der CSR wird übrigens nicht mehr benötigt und kann gelöscht werden.
Apache kann im Moment noch nichts mit den Zertifikatsdateien anfangen und noch lernen “SSL zu sprechen”. Dazu wird ein SSL-VHost eingerichtet. Als Basis hierfür kann der abzusichernde VHost vorerst kopiert werden.
cp /etc/apache2/sites-available/001-netways.de.conf /etc/apache2/sites-available/001-netways.de-ssl.conf
Diese neue SSL-Config wird nun angepasst, damit der Apache nun weiß, was er zu tun hat.
Innerhalb der nun betreffenden VHost-Definition werden nun noch ein paar Paramater für SSL angegeben
SSLEngine on SSLCertificateKeyFile /etc/apache2/ssl/netways.de/netways.de.key SSLCertificateFile /etc/apache2/ssl/netways.de/certificate.crt SSLCertificateChainFile /etc/apache2/ssl/netways.de/cert.cabundle
Übrigens in der Einleitung der VHost-Definition (i. d. R. ganz oben in der neuen Datei) sollte der angegebene Port 80 auf 443 geändert werden.
<VirtualHost 123.456.789.012:80> auf <VirtualHost 123.456.789.012:443>
Abschließend wird der Apache noch um ein paar Funktionalitäten erweitert (SSL und der neue VHost wird aktiviert):
a2enmod ssl a2ensite 001-netways.de-ssl.conf service apache2 restart
Der VHost ist nun zusätzlich mit SSL abgesichert und in unserem Beispiel via https://netways.de und http://netways.de erreichbar. Ob alles geklappt hat, sieht man nun am erfolgreichen Verbindungsaufbau via HTTPS oder kann es zum Beispiel bei SSL Labs ausführlich prüfen lassen.
Die Namensgebung der Zertifikate unterscheidet sich von Zertifizierungsstelle zu Zertifizierungsstelle und kann auch mal mit .pem bezeichnet sein usw. Dies kann “ignoriert” werden und beliebig selbst in der Config auf die neuen Endungen angepasst werden. Auch eine Umbenennung der Dateien auf das eigene Schema ist ein möglicher Lösungsansatz.
In den anderen (teilweise noch kommenden) Blogposts zum Thema SSL leicht gemacht geht es um:
- Erstellung eines Keyfiles und eines CSR
- Zusammengehörigkeit von Zertifikatsdateien prüfen
- forcierte Weiterleitung von HTTP auf HTTPS einrichten
- Hardening von unterstützen Ciphers und Protokollen – der Weg zum A+ Rating
- Zertifikat einbinden (nginx)
- Gitlab via TLS absichern
- Zertifikate selbst signieren
Übrigens: Zertifikate müssen nichts kosten. Eine Alternative mittels Letsencrypt ist hier beschrieben.
