apache+ssl

[Josef Kandlhofer <of...@kandlhofer.com>]

Hi,

gibt es gute, exakte Anleitungen (vielleicht deutsch) wie man am Apache
unter Suse Linux mit konfiguriert, damit SSL-Verbindungen aufgebaut werden
können?!

Bin für jede Hilfe dankbar!

Viele Grüße,
Josef

Re: apache+ssl

[ni...@gmx.de]

hy !!

ja unter www.netzadmin.de gibt es eine deutsche Anleitung.

mfg nico



> Hi,
> 
> gibt es gute, exakte Anleitungen (vielleicht deutsch) wie man am Apache
> unter Suse Linux mit konfiguriert, damit SSL-Verbindungen aufgebaut werden
> können?!
> 
> Bin für jede Hilfe dankbar!
> 
> Viele Grüße,
> Josef
> 
> 
> --------------------------------------------------------------------------
>                 Apache HTTP Server Mailing List "users-de" 
>       unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
>            sonstige Anfragen an users-de-help@httpd.apache.org
> --------------------------------------------------------------------------
> 

-- 
+++ GMX - Mail, Messaging & more  http://www.gmx.net +++
NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen!

Re: apache+ssl

[Roland Schmid <ap...@net-service-24.de>]

Am Dienstag, 8. Oktober 2002 um 17:27 hat Josef Kandlhofer folgendes geschrieben:

> gibt es gute, exakte Anleitungen (vielleicht deutsch) wie man am Apache
> unter Suse Linux mit konfiguriert, damit SSL-Verbindungen aufgebaut werden
> können?!

Hallo,

hier ist eine gute Anleitung.

http://www.baach.de/

Gruss Roland

PATH Variable ändern

["Oliver Etzel - GoodnGo.COM (R)" <ol...@goodngo.com>]

Hallo Leute,
habe es selbst rausgefunden:

> Frage: Ich weiss es ist bischen aus der Reihe, aber wie trage ich denn
einen
> Dämon/Dienst in PATH ein??
root sein.
vi /etc/profile

dort findet Ihr

---snip
if [ `id -u` = 0 ]; then
        pathmunge /sbin
        pathmunge /usr/sbin
        pathmunge /usr/local/sbin
fi
---snip

Möchte man bspw. usr/local/apache/bin Apache Programme von überall ausführen
lassen,
WAS NICHT RATSAM ist und hier nur als Beispiel angeführt wird, dann muss man
/etc/profile  editieren wie folgt:

---snip
if [ `id -u` = 0 ]; then
        pathmunge /sbin
        pathmunge /usr/sbin
        pathmunge /usr/local/sbin
        pathmunge usr/local/apache/bin
fi
---snip

Nochmal ausloggen und nochmal einloggen
Schon funktionierts.

MfG
Oliver Etzel
preiswertes Hosting www.t-host.de
preiswertes Serverhousing www.housing-server.de
------------------------------------------------------
preis

RE: PATH Variable ändern / Changing PATH variable Linux

[Peter Stoehr <st...@gaynet.at>]

Hi,

hatte ich zu spaet gesehen :-)

Schoenen Tag noch aus Wien, Peter

-----Original Message-----
From: Oliver Etzel - GoodnGo.COM (R) [mailto:oliver@goodngo.com]
Sent: Friday, October 11, 2002 2:41 PM
To: users-de@httpd.apache.org
Subject: PATH Variable ändern / Changing PATH variable Linux


Hallo Leute, hallo Peter,

Oooops...
habe es selbst rausgefunden:

> Frage: Ich weiss es ist bischen aus der Reihe, aber wie trage ich denn
einen
> Dämon/Dienst in PATH ein??
root sein.
vi /etc/profile

dort findet Ihr
[..]

PATH Variable ändern / Changing PATH variable Linux

["Oliver Etzel - GoodnGo.COM (R)" <ol...@goodngo.com>]

Hallo Leute, hallo Peter,

Oooops...
habe es selbst rausgefunden:

> Frage: Ich weiss es ist bischen aus der Reihe, aber wie trage ich denn
einen
> Dämon/Dienst in PATH ein??
root sein.
vi /etc/profile

dort findet Ihr

---snip
if [ `id -u` = 0 ]; then
        pathmunge /sbin
        pathmunge /usr/sbin
        pathmunge /usr/local/sbin
fi
---snip

Möchte man bspw. usr/local/apache/bin Apache Programme von überall ausführen
lassen,
WAS NICHT RATSAM ist und hier nur als Beispiel angeführt wird, dann muss man
/etc/profile  editieren wie folgt:

---snip
if [ `id -u` = 0 ]; then
        pathmunge /sbin
        pathmunge /usr/sbin
        pathmunge /usr/local/sbin
        pathmunge usr/local/apache/bin
fi
---snip

Nochmal ausloggen und nochmal einloggen
Schon funktionierts.

MfG
Oliver Etzel
preiswertes Hosting www.t-host.de
preiswertes Serverhousing www.housing-server.de
------------------------------------------------------

RE: apache+ssl

[Peter Stoehr <st...@gaynet.at>]

>-----Original Message-----
>From: Oliver Etzel - GoodnGo.COM (R) [mailto:oliver@goodngo.com]
>Sent: Wednesday, October 09, 2002 10:40 AM
>To: users-de@httpd.apache.org
>Subject: Re: apache+ssl
>
>
>Hallo Peter, hallo alle,

Hallo Oliver,

>Frage: Ich weiss es ist bischen aus der Reihe, aber wie trage ich
>denn einen
>Dämon/Dienst in PATH ein??

Wenn Du es als .deb oder .rpm-Paket installierst, dann wird der Pfad autom.
gesetzt. Der Pfad dient ja nur dazu, dass Du aus einem x-beliebigen
Verzeichnis openssl starten kannst.

LG, Peter

Re: apache+ssl

["Oliver Etzel - GoodnGo.COM (R)" <ol...@goodngo.com>]

Hallo Peter, hallo alle,

> >gibt es gute, exakte Anleitungen (vielleicht deutsch) wie man am Apache
> >unter Suse Linux mit konfiguriert, damit SSL-Verbindungen aufgebaut
werden
> >können?!

> 1. Stelle sicher, dass OpenSSL installiert ist und im PATH eingetragen
ist.

Frage: Ich weiss es ist bischen aus der Reihe, aber wie trage ich denn einen
Dämon/Dienst in PATH ein??

Hope for help
Oliver Etzel

Re: header dateien

[Joerg Behrens <be...@takenet.de>]

----- Original Message -----
From: "Oliver Etzel - GoodnGo.COM (R)" <ol...@goodngo.com>
To: <us...@httpd.apache.org>
Sent: Friday, December 06, 2002 1:15 PM
Subject: header dateien


> Hallo List,

> kurze offtopic frage betreff RedHat Linux.
> Wo finde ich die Header-Dateien bspw. von den GD-libs

RedHat kenne ich nun nicht im Detail aber schau doch mal obs ein
gd-devel.rpm oder so gibt

> Wo finde ich die include-Dateien einer Anwendung?
Im */include Verz. Entweder im systemweiten wie /usr/include oder
usr/local/appsname/include.
Header dateien sind nicht zum ausführen der Programme noetig. Nur wenn man
deren Funktionalitaet SourceCode technisch nutzen moechte beim Compilieren.
Viele Programme bringen deshalt ihre 'eigene' Version mit und kompilieren
diese als static mit ein.


> Wer´s weiss soll einfach antworten - wo diese Dateien sind und wie man sie
suchen kann (whereis etc)?
http://rpmfind.net/linux/rpm2html/help.html#colormap

bzw.
http://www.redhat.com/apps/download/results.html?search%3Aquery_cb=gd&search
%3Asource=rpm&search%3Afields=name&search%3Afields=summary&search%3Afields=d
escription&search%3Aoptions=match_partial&search%3Afield%3Aarch=i386%2Ci586%
2Ci686%2Cnoarch

Achtung Link koennte unterbrochen sein. Das Ergebnis zeigt
      1. gd-devel 1.8.4 - 9     i386  |  221k  |  Jun 23 2002  |  Red Hat,
Inc. [ download    |    details ]
        The development libraries and header files for gd.



Gruss
Joerg Behrens

--
TakeNet GmbH                        Mobil: 0171/60 57 963
D-97080 Wuerzburg                 Tel: +49 931 903-2243
Alfred-Nobel-Straße 20            Fax: +49 931 903-3025

header dateien

["Oliver Etzel - GoodnGo.COM (R)" <ol...@goodngo.com>]

Hallo List,

kurze offtopic frage betreff RedHat Linux. 
Wo finde ich die Header-Dateien bspw. von den GD-libs
Wo finde ich die include-Dateien einer Anwendung?

Wer´s weiss soll einfach antworten - wo diese Dateien sind und wie man sie suchen kann (whereis etc)?

Oliver Etzel

Re: apache+ssl

[Bjoern Hoehrmann <de...@gmx.net>]

* Josef Kandlhofer wrote:
>Welche Vorteile aus sicherheitstechnischer Sicht haben Zertifikate einer CA
>im Gegensatz zu selbst Ausgestellten?

Keine, solange du Vertrauen nicht als relevant einstufst.

Lese-Hinweis: http://learn.to/quote

RE: apache+ssl

[Peter Stoehr <st...@gaynet.at>]

>-----Original Message-----
>From: Josef Kandlhofer [mailto:Sepp.Kandlhofer@gmx.net]
>Sent: Monday, October 14, 2002 10:43 AM
>To: users-de@httpd.apache.org
>Subject: Re: apache+ssl
>
>
>HI,
>
>und wenn ich manche Domains mit SSL haben will und manche ohne, kann ich
>dann name-based vh und ip-bases vh mischen? das würde ja auch helfen IPs zu
>sparen.
>

zB: 1 IP reicht für:

virt.host1.com ohne SSL
virt.host2.com ohne SSL
virt.host3.com ohne SSL
virt.host4.com ohne SSL
virt.host1.com mit SSL

zB: 2 IP's:

virt.host1.com ohne SSL
virt.host2.com ohne SSL
virt.host3.com ohne SSL
virt.host4.com ohne SSL
virt.host1.com mit SSL
virt.host2.com mit SSL

usw.

lg, Peter

Re: apache+ssl

[Josef Kandlhofer <Se...@gmx.net>]

HI,

> Du brauchst dann IP based Virtualhosts. Die Info welcher Host gemeint ist
> kommt ja normal bei einem HTTP/1.1 request aus der Angabe des HOSTS.

und wenn ich manche Domains mit SSL haben will und manche ohne, kann ich
dann name-based vh und ip-bases vh mischen? das würde ja auch helfen IPs zu
sparen.

DANKE!

josef

-- 
+++ GMX - Mail, Messaging & more  http://www.gmx.net +++
NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen!

Re: apache+ssl

[Joerg Behrens <be...@takenet.de>]

----- Original Message -----
From: "Richard Ertl" <Ri...@asamnet.de>
To: <us...@httpd.apache.org>
Sent: Sunday, October 13, 2002 7:22 PM
Subject: AW: apache+ssl


> Hallo,
>
> > >Das stimmt nur zum Teil. Ich kann auch named-based Virtualhosts mit SSL
> > >einrichten, wenn ich für jeden ssl-virtual-host eine eigene Portnummer
> > >mitgebe. Und Portnummern gibt es mehr und die kosten nichts im
> > Gegensatz zu
> > >IP's.
> >
> > Das kommt in Printmediean sicher gut rueber: Besuchen Sie unseren Shop
auf
> > my.shop.com:5689 oder ordern Sie direkt bei unserem Partner auf
> > my.partner.com:7896 :-)
>
> Welcher Shop hat als Einstiegsseite einen https-Aufruf? Der wird wohl
keine
> Besucher bekommen. Die Einstiegsseite einer Domain wird immer eine
> http-Seite sein. Und wenn ich dann auf https-Seiten wechsle ist die
> Portangabe eine Sache meiner eigenen Seitengestaltung.

Man sollte nur im Hinterkopf behalten das 'utopische' Ports selten durch
Firewalls gehen und man eigentlich auf 80,8080,443 begrenzt ist.
Gruss
Joerg Behrens

--
TakeNet GmbH                        Mobil: 0171/60 57 963
D-97080 Wuerzburg                 Tel: +49 931 903-2243
Alfred-Nobel-Straße 20            Fax: +49 931 903-3025

AW: apache+ssl

[Richard Ertl <Ri...@asamnet.de>]

Hallo,

> >Das stimmt nur zum Teil. Ich kann auch named-based Virtualhosts mit SSL
> >einrichten, wenn ich für jeden ssl-virtual-host eine eigene Portnummer
> >mitgebe. Und Portnummern gibt es mehr und die kosten nichts im
> Gegensatz zu
> >IP's.
>
> Das kommt in Printmediean sicher gut rueber: Besuchen Sie unseren Shop auf
> my.shop.com:5689 oder ordern Sie direkt bei unserem Partner auf
> my.partner.com:7896 :-)

Welcher Shop hat als Einstiegsseite einen https-Aufruf? Der wird wohl keine
Besucher bekommen. Die Einstiegsseite einer Domain wird immer eine
http-Seite sein. Und wenn ich dann auf https-Seiten wechsle ist die
Portangabe eine Sache meiner eigenen Seitengestaltung.


Bye

Richard.Ertl@asamnet.de
http://www.asamnet.de/~ertlr
*** I don't surf but i make the waves ***

RE: apache+ssl

[Peter Stoehr <st...@gaynet.at>]

>-----Original Message-----
>From: Richard Ertl [mailto:Richard.Ertl@asamnet.de]
>Sent: Sunday, October 13, 2002 12:21 PM
>To: users-de@httpd.apache.org
>Subject: AW: apache+ssl
>
>
>Hallo,

Hi,

[..]
>Das stimmt nur zum Teil. Ich kann auch named-based Virtualhosts mit SSL
>einrichten, wenn ich für jeden ssl-virtual-host eine eigene Portnummer
>mitgebe. Und Portnummern gibt es mehr und die kosten nichts im Gegensatz zu
>IP's.

Das kommt in Printmediean sicher gut rueber: Besuchen Sie unseren Shop auf
my.shop.com:5689 oder ordern Sie direkt bei unserem Partner auf
my.partner.com:7896 :-)


Peter

AW: apache+ssl

[Richard Ertl <Ri...@asamnet.de>]

Hallo,

> > zwei Sachen sind mir bezüglich SSL + Apache noch nicht klar,
> bzw. habe ich
> > widersprüchliche Antworten erhalten:
> >
> > - wenn ich auf einem Server mehrere virtual hosts einrichten
> will und ich
> > diese verschiedenen Domains dann mit SSL betreiben will, wobei ich
> > unterschiedliche Zertifikate (selbstausgestellte oder CA
> autorisierte, 40
> bit oder 128
> > Bit) pro Domain verwende werde, brauche ich dann ip-based-virtual hosts
> oder
> > reichen name-based-virtual hosts?
>
> Du brauchst dann IP based Virtualhosts. Die Info welcher Host gemeint ist
> kommt ja normal bei einem HTTP/1.1 request aus der Angabe des HOSTS.

Das stimmt nur zum Teil. Ich kann auch named-based Virtualhosts mit SSL
einrichten, wenn ich für jeden ssl-virtual-host eine eigene Portnummer
mitgebe. Und Portnummern gibt es mehr und die kosten nichts im Gegensatz zu
IP's.


Bye

Richard.Ertl@asamnet.de
http://www.asamnet.de/~ertlr
*** I don't surf but i make the waves ***

Re: apache+ssl

[Joerg Behrens <be...@takenet.de>]

----- Original Message -----
From: "Josef Kandlhofer" <Se...@gmx.net>
To: <us...@httpd.apache.org>
Sent: Saturday, October 12, 2002 4:41 PM
Subject: RE: apache+ssl


> Hi,
>
> zwei Sachen sind mir bezüglich SSL + Apache noch nicht klar, bzw. habe ich
> widersprüchliche Antworten erhalten:
>
> - wenn ich auf einem Server mehrere virtual hosts einrichten will und ich
> diese verschiedenen Domains dann mit SSL betreiben will, wobei ich
> unterschiedliche Zertifikate (selbstausgestellte oder CA autorisierte, 40
bit oder 128
> Bit) pro Domain verwende werde, brauche ich dann ip-based-virtual hosts
oder
> reichen name-based-virtual hosts?

Du brauchst dann IP based Virtualhosts. Die Info welcher Host gemeint ist
kommt ja normal bei einem HTTP/1.1 request aus der Angabe des HOSTS.

telnet www.example.de 80
HEAD / HTTP/1.1
HOST: www.example.de  <-- Anhand dieser Info ordnet der Apache deine Anfrage
dem entsprechenden Namebased Vhost zu.

Aber schon vorher hat der HandShake bezeuglich Verschluesselung etc. statt
zufinden. Ergo reichen Namebasedhosts hier nicht aus. Die Anfage muss
eindeutig einem HOST zugeordnet werden und das geht nunmal nur ueber die IP
in diesem Falle.

Gruss
Joerg Behrens

--
TakeNet GmbH                        Mobil: 0171/60 57 963
D-97080 Wuerzburg                 Tel: +49 931 903-2243
Alfred-Nobel-Straße 20            Fax: +49 931 903-3025

RE: apache+ssl

[Josef Kandlhofer <Se...@gmx.net>]

Hi,

zwei Sachen sind mir bezüglich SSL + Apache noch nicht klar, bzw. habe ich
widersprüchliche Antworten erhalten:

- wenn ich auf einem Server mehrere virtual hosts einrichten will und ich
diese verschiedenen Domains dann mit SSL betreiben will, wobei ich
unterschiedliche Zertifikate (selbstausgestellte oder CA autorisierte, 40 bit oder 128
Bit) pro Domain verwende werde, brauche ich dann ip-based-virtual hosts oder
reichen name-based-virtual hosts? In manchen Tutorials steht es so, in den
anderen wieder anders. Ebenso verhält es sich mit den Antworten in versch.
Mailinglisten...  Also wie ist es wirklich? Brauche ich dafü jetzt eine IP pro
Domain oder nicht?

- ich würde bei SSL gerne eine Triple-DES Verschlüsselung für die
symmetrische Verschlüsselung hinbekommen. Nur wie mache ich das? Ist das überhaupt
möglich? Denn obwohl mein Server und mein Client diese Verschlüsselungsart
unterstützt, wird immer nur mit RC4 verschlüsselt.... ???

Danke und liebe Grüße,
josef

-- 
+++ GMX - Mail, Messaging & more  http://www.gmx.net +++
NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen!

RE: apache+ssl

[Peter Stoehr <st...@gaynet.at>]

>-----Original Message-----
>From: Josef Kandlhofer [mailto:Sepp.Kandlhofer@gmx.net]
>Sent: Wednesday, October 09, 2002 7:04 PM
>To: users-de@httpd.apache.org
>Subject: RE: apache+ssl
>
>Welche Vorteile aus sicherheitstechnischer Sicht haben Zertifikate einer CA
>im Gegensatz zu selbst Ausgestellten?

Vom Sicherheitsaspekt her gar keine. Vom Vertrauensaspekt her schon, da die
CA vergleichbar mit einem Notar ist, der gegenueber dem Kunden bestaetigt,
dass Du auch derjenige bist, den Du vorgibst zu sein.

>Kann ich mit selbst ausgestellten auch mit 128 Bit verschlüsseln?

Ja. Seitdem das US-Exportgesetz diesbezueglich gefallen ist, ist es kein
Problem. Allerdings koennen Clients mit einem 128bit Zert nichts anfangen,
wenn der Browser vor dem Fall des US-Exportgesetzes fuer die 128bit
Verschluesselung downgeloaded/installiert wurde. Ab MSIE 5 und NS 6 geht es
von Haus aus, alle niedrigeren Versionsnummer koennen nachgeruestet werden.

lg, Peter

RE: apache+ssl

[Josef Kandlhofer <Se...@gmx.net>]

Hm, danke für die super-Erläuterungen.

Eine prinzipielle Frage noch:

Welche Vorteile aus sicherheitstechnischer Sicht haben Zertifikate einer CA
im Gegensatz zu selbst Ausgestellten?

Kann ich mit selbst ausgestellten auch mit 128 Bit verschlüsseln?

Danke für die Hilfe!
josef


> 
> Hi,
> 
> >
> >gibt es gute, exakte Anleitungen (vielleicht deutsch) wie man am Apache
> >unter Suse Linux mit konfiguriert, damit SSL-Verbindungen aufgebaut
> werden
> >können?!
> 
> ob sie gut ist weiss ich nicht, jedoch funktioniert dies bei mir immer:
> 
> 1. Stelle sicher, dass OpenSSL installiert ist und im PATH eingetragen
> ist.
> 
> 
> 2. Erzeugen des RSA private key fuer den (virtuellen) Apache Server (wird
> Triple-DES verschluesselt und PEM formatiert):
> 
> # openssl genrsa -des3 -out my.domain.at.key 1024
> 
> <Bildschirmausgabe>
> 
> Generating RSA private key, 1024 bit long modulus
> ........++++++
> ..........................++++++
> e is 65537 (0x10001)
> Enter PEM pass phrase:  -> meinPasswort
> Verifying password - Enter PEM pass phrase:  -> meinPasswort
> 
> </Bildschirmausgabe>
> 
> 1024 ist dabei die Schluessellaenge. Irgendwo habe ich gelesen, dass
> mittlerweilen eine Schluessellaenge > 1024 Bit empfohlen wird. Habe
> kuerzlich einen 2048 Bit Schluessel erzeugt, funzt auch.
> 
> Vom erzeugten Keyfile my.domain.at.key ein Backup erstellen und die
> eingegebene pass-phrase merken! Die Details von diesem erzeugtem RSA
> private
> key siehst Du folgend:
> 
> # openssl rsa -noout -text -in my.domain.at.key
> 
> Du kannst auch eine unverschluesselte PEM Version von diesem RSA private
> key
> erzeugen, wird aber nicht empfohlen:
> 
> # openssl rsa -in my.domain.at.key -out my.domain.at.key.unsecure
> 
> 
> 3. Einen _Certificate Signing Request_ (CSR) mit dem RSA private key
> erzeugen (Ausgabe ist PEM formatiert):
> 
> # openssl req -new -key my.domain.at.key -out my.domain.at.csr
> 
> Bei der Frage _CommonName_ musst Du die URL Deiner Seite eintragen. zB.
> https://my.domain.at -> CommonName = my.domain.at.
> 
> <Bildschirmausgabe>
> 
> Using configuration from /usr/lib/ssl/openssl.cnf
> Enter PEM pass phrase:      -> meinPasswort
> You are about to be asked to enter information that will be incorporated
> into your certificate request.
> What you are about to enter is what is called a Distinguished Name or a
> DN.
> There are quite a few fields but you can leave some blank
> For some fields there will be a default value,
> If you enter '.', the field will be left blank.
> -----
> Country Name (2 letter code) [AU]:  -> AT
> State or Province Name (full name) [Some-State]:   -> Vienna
> Locality Name (eg, city) []:  -> Vienna
> Organization Name (eg, company) [Internet Widgits Pty Ltd]:  -> meineFirma
> Organizational Unit Name (eg, section) []:  -> meineAbteilung
> Common Name (eg, YOUR name) []:  -> my.domain.at
> Email Address []:  -> email@domain.at
> 
> Please enter the following 'extra' attributes
> to be sent with your certificate request
> A challenge password []:  -> zusaetzlichesPasswortZumMerken
> An optional company name []:  -> kann leer gelassen werden
> 
> </Bildschirmausgabe>
> 
> Die Details von diesem CSR kannst Du via
> 
> # openssl req -noout -text -in my.domain.at.csr
> 
> abrufen.
> 
> 
> 4. Dieses CSR nun an eine _Certifying Authorithy_ (CA) senden, oder sich
> selbst zertifizieren.
> Wenn man keine unschoenen Warnmeldungen beim Aufrufen der SSL-Site haben
> will, sollte man sich an einen kommerziellen Anbieter wenden, zB:
> 
> Versign (http://digitalid.verisign.com/server/apacheNotice.html)
> Thawte (http://www.thawte.com/certs/server/request.html)
> 
> 
> Diese bestaetigen, dass Du auch Du bist und schicken Dir das Zertifikat
> my.domain.at.crt. Das stellst dann zb. nach /etc/apache/ssl und gibst den
> Pfad in die httpd.conf ein.
> 
> 
> LG , Peter
> 
> 
> --------------------------------------------------------------------------
>                 Apache HTTP Server Mailing List "users-de" 
>       unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
>            sonstige Anfragen an users-de-help@httpd.apache.org
> --------------------------------------------------------------------------
> 

-- 
+++ GMX - Mail, Messaging & more  http://www.gmx.net +++
NEU: Mit GMX ins Internet. Rund um die Uhr für 1 ct/ Min. surfen!

RE: apache+ssl

[Peter Stoehr <st...@gaynet.at>]

>-----Original Message-----
>From: Josef Kandlhofer [mailto:office@kandlhofer.com]
>Sent: Tuesday, October 08, 2002 5:28 PM
>To: Users-De@Httpd. Apache. Org
>Subject: apache+ssl
>
>
>Hi,

Hi,

>
>gibt es gute, exakte Anleitungen (vielleicht deutsch) wie man am Apache
>unter Suse Linux mit konfiguriert, damit SSL-Verbindungen aufgebaut werden
>können?!

ob sie gut ist weiss ich nicht, jedoch funktioniert dies bei mir immer:

1. Stelle sicher, dass OpenSSL installiert ist und im PATH eingetragen ist.


2. Erzeugen des RSA private key fuer den (virtuellen) Apache Server (wird
Triple-DES verschluesselt und PEM formatiert):

# openssl genrsa -des3 -out my.domain.at.key 1024

<Bildschirmausgabe>

Generating RSA private key, 1024 bit long modulus
........++++++
..........................++++++
e is 65537 (0x10001)
Enter PEM pass phrase:  -> meinPasswort
Verifying password - Enter PEM pass phrase:  -> meinPasswort

</Bildschirmausgabe>

1024 ist dabei die Schluessellaenge. Irgendwo habe ich gelesen, dass
mittlerweilen eine Schluessellaenge > 1024 Bit empfohlen wird. Habe
kuerzlich einen 2048 Bit Schluessel erzeugt, funzt auch.

Vom erzeugten Keyfile my.domain.at.key ein Backup erstellen und die
eingegebene pass-phrase merken! Die Details von diesem erzeugtem RSA private
key siehst Du folgend:

# openssl rsa -noout -text -in my.domain.at.key

Du kannst auch eine unverschluesselte PEM Version von diesem RSA private key
erzeugen, wird aber nicht empfohlen:

# openssl rsa -in my.domain.at.key -out my.domain.at.key.unsecure


3. Einen _Certificate Signing Request_ (CSR) mit dem RSA private key
erzeugen (Ausgabe ist PEM formatiert):

# openssl req -new -key my.domain.at.key -out my.domain.at.csr

Bei der Frage _CommonName_ musst Du die URL Deiner Seite eintragen. zB.
https://my.domain.at -> CommonName = my.domain.at.

<Bildschirmausgabe>

Using configuration from /usr/lib/ssl/openssl.cnf
Enter PEM pass phrase:      -> meinPasswort
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:  -> AT
State or Province Name (full name) [Some-State]:   -> Vienna
Locality Name (eg, city) []:  -> Vienna
Organization Name (eg, company) [Internet Widgits Pty Ltd]:  -> meineFirma
Organizational Unit Name (eg, section) []:  -> meineAbteilung
Common Name (eg, YOUR name) []:  -> my.domain.at
Email Address []:  -> email@domain.at

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:  -> zusaetzlichesPasswortZumMerken
An optional company name []:  -> kann leer gelassen werden

</Bildschirmausgabe>

Die Details von diesem CSR kannst Du via

# openssl req -noout -text -in my.domain.at.csr

abrufen.


4. Dieses CSR nun an eine _Certifying Authorithy_ (CA) senden, oder sich
selbst zertifizieren.
Wenn man keine unschoenen Warnmeldungen beim Aufrufen der SSL-Site haben
will, sollte man sich an einen kommerziellen Anbieter wenden, zB:

Versign (http://digitalid.verisign.com/server/apacheNotice.html)
Thawte (http://www.thawte.com/certs/server/request.html)


Diese bestaetigen, dass Du auch Du bist und schicken Dir das Zertifikat
my.domain.at.crt. Das stellst dann zb. nach /etc/apache/ssl und gibst den
Pfad in die httpd.conf ein.


LG , Peter