You are viewing a plain text version of this content. The canonical link for it is here.

Posted to users-de@httpd.apache.org by Silvio Siefke <li...@silvio-siefke.de> on 2005/03/14 23:07:08 UTC

Apache SSL

Abend Liste,

ich habe Probleme mit Apache-SSL.

Ich habe Debian Sarge auf dem Apache 1.3.33
und Apache-SSL 1.3.33 läuft. Ich würde gerne
SSL einrichten und mit einen signierten Zertifikat
betreiben.

Also habe ich bei der psw.net ein Zertifikat bestellt,
und wie folgt eingerichtet.
<>
openssl genrsa -des3 -out hserverbiz.key 1024
openssl genrsa -out hserverbiz.key 1024
openssl req -new -key hserverbiz.key -out hserverbiz.csr
</>

Danach habe ich den Inhalt des mir geschickten Zertifikates
in das csr kopiert. Leider startet der Apache-SSL nicht mehr.

/var/log/apache/
[Mon Mar 14 23:03:02 2005] [crit] Error reading server certificate
file /etc/apache/hserverbiz.csr
[Mon Mar 14 23:03:02 2005] [crit] error:0906D06C:PEM routines:
PEM_read_bio:no start line

Folgendes habe ich bekommen:
Eine Textdatei mit den Zertifikat, eine Startssl.csr das war es.

Ich weiß nicht mehr weiter, habt Ihr Rat?


MFG Silvio Siefke


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Apache SSL

Posted by "werner d." <wd...@ilum.org>.

hi,

es gibt auch die möglichkeit sog. selfsigned zertifikate zu erstellen,
dazu gehts du wie folgt vor:


openssl genrsa -des3 -out server.key 1024
openssl rsa -in server.key -out server.key.unsecure
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

dann hast du dein eigenes zertifikat (welches dann natürlich von 
dir un nicht von einer öffenltichen ca beglaubigt bzw. unterschrieben
wurde)

hoffe geholfen zu haben, 

werner






--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Apache SSL

Posted by Thomas Hilbert <ne...@lordskeletor.de>.

Hallo Silvio,

wie Frank das beschreibt kommt es der Realität schon sehr Nahe.
Mit Hilfe von OpenSSL (o.ä.) wird erst das Schlüsselpaar (Public-
und Private-Key) und dann ein Request für eine Zertifizierung
generiert (die .csr).
Den Zeritifizierungsrequest schickst du an deine CA, welche dir
(natürlich gegen entsprechende viel zu hohe Zahlung) ein Zertifikat
ausstellt, welches sie dir entweder in Form einer .crt-Datei, oder
in einer Mail als reinen Text übermittelt (der Text ohne deinen
Private Key ist wertlos, wodurch das kein Sicherheitsproblem
darstellt).
Dieser Text steht zwischen
-----BEGIN CERTIFICATE-----
und
-----END CERTIFICATE-----
-Tags und kann (zusammen mit den Tags!) einfach in eine Textdatei
kopiert werden, welche du daraufhin auf deinzertifikat.crt umbenennst.

Apache benötigt zum Laufen nun sowohl das Schlüsselpaar (die
.key-Datei) und das Zertifikat (die .crt-Datei):

(in Apache 2.0.50, Windows)
SSLEngine On
SSLCertificateFile /pfad/deinzertifikat.crt
SSLCertificateKeyFile /pfad/deinzertifikat.key

Zu beachten ist noch der Passwortschutz des .key-Files.
Apache braucht dieses Kennwort (das du beim Erzeugen des
Key-Pairs angegeben hast) beim Startup, das heißt, du musst
das Kennwort für jeden Key bei jedem Startup manuell eingeben.
Wenn du es kannst, kannst du dir jedoch eine kleine Anwendung
schreiben, welche dir diese Arbeit abnimmt:

SSLPassPhraseDialog exec:/pfad/anwendung.exe

Diese anwendung.exe wird für jedes Zertifikat einmal von Apache
aufgerufen und nach dem entsprechenden Passwort befragt, welches
diese dann liefert.
Näheres dazu solltest du im Internet finden können, oft bieten CAs
auch eine detailliert Anleitung für die Installation ihrer Zertifikate mit
gängigen HTTP-Servern.


Gruß,

Thomas


----- Original Message ----- 
From: "Frank Thommen" <ft...@inf.ethz.ch>
To: <us...@httpd.apache.org>
Sent: Tuesday, March 15, 2005 12:02 AM
Subject: Re: Apache SSL


> Hallo Silvio,
>
>> Also habe ich bei der psw.net ein Zertifikat bestellt,
>> und wie folgt eingerichtet.
>> <>
>> openssl genrsa -des3 -out hserverbiz.key 1024
>> openssl genrsa -out hserverbiz.key 1024
>> openssl req -new -key hserverbiz.key -out hserverbiz.csr
>> </>
>>
>> Danach habe ich den Inhalt des mir geschickten Zertifikates
>> in das csr kopiert. Leider startet der Apache-SSL nicht mehr.
>>
>> /var/log/apache/
>> [Mon Mar 14 23:03:02 2005] [crit] Error reading server certificate
>> file /etc/apache/hserverbiz.csr
>> [Mon Mar 14 23:03:02 2005] [crit] error:0906D06C:PEM routines:
>> PEM_read_bio:no start line
>>
>> Folgendes habe ich bekommen:
>> Eine Textdatei mit den Zertifikat, eine Startssl.csr das war es.
>
> Das *.csr ist soweit ich weiss ein Certificate Signing Request, also
> erst die Anfrage an die CA (psw.net) um eine Zertifizierung Deines
> privaten Keys (hserverbiz.key).  Von der CA muesstest Du ein Zertifikat
> zurueckerhalten (vermutlich die Textdatei, die Du erwaehnst).  Es sollte
> das verschluesselte Zertifikat (zwischen '-----BEGIN CERTIFICATE-----'
> und '-----END CERTIFICATE-----' enthalten).  Dieses File zusammen mit
> einem File, wo Dein persoenlicher Key drin ist muesstest Du dann mit
> Apache verwenden koennen.
>
> Ich hoffe das stimmt so ungefaehr.  Ich habe den Ablauf aus den Skripten
> abgeleitet, die unsere "selbstgebrauten" Zertifikate generieren.
>
> frank
>
> -- 
> Next absence: March 21 - March 24, 2005
>
> Frank Thommen
> System Management & Support                        +41 44 63 27208
> Inst. of Computational Science ETH            fthommen@inf.ethz.ch
> ETH Zentrum / HRS, CH-8092 Zuerich       www.inf.ethz.ch/~fthommen
>
> --------------------------------------------------------------------------
>                Apache HTTP Server Mailing List "users-de"
>      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
>           sonstige Anfragen an users-de-help@httpd.apache.org
> --------------------------------------------------------------------------
> 


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Referer

Posted by Thomas Hilbert <ne...@lordskeletor.de>.

Apache is ja schon geil ;-D

----- Original Message ----- 
From: "Erik Abele" <er...@apache.org>
To: <us...@httpd.apache.org>
Sent: Tuesday, March 15, 2005 1:44 AM
Subject: Re: Referer


On 15.03.2005, at 01:25, Anja wrote:

> Kann man Link-Klicks von einer bestimmten Seite so abarbeiten, dass sie
> nicht auf der normalen Adresse, sondern einer speziellen Seite landen?
> Wir werden häufig in einem bestimmten Forum gelinkt, was uns nicht paßt. 
> Den
> Weg über Anwalt usw. wollen wir nicht gehen, stattdessen eine andere Seite
> dazwischen schalten.

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://([^/]*\.)?baddomain\.com/
RewriteRule ^/.* http://www.mydomain.de/info-about-baddomain.html [R,L]

Obiges verweist per Redirect alle von http://baddomain.com/ (inkl.
Sub-Domains) kommenden Anfragen, egal wohin, auf
http://www.mydomain.de/info-about-baddomain.html - hoffe das hilft...

Cheers,
Erik


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Referer

Posted by Erik Abele <er...@apache.org>.

On 15.03.2005, at 01:25, Anja wrote:

> Kann man Link-Klicks von einer bestimmten Seite so abarbeiten, dass sie
> nicht auf der normalen Adresse, sondern einer speziellen Seite landen?
> Wir werden häufig in einem bestimmten Forum gelinkt, was uns nicht 
> paßt. Den
> Weg über Anwalt usw. wollen wir nicht gehen, stattdessen eine andere 
> Seite
> dazwischen schalten.

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://([^/]*\.)?baddomain\.com/
RewriteRule ^/.* http://www.mydomain.de/info-about-baddomain.html [R,L]

Obiges verweist per Redirect alle von http://baddomain.com/ (inkl. 
Sub-Domains) kommenden Anfragen, egal wohin, auf 
http://www.mydomain.de/info-about-baddomain.html - hoffe das hilft...

Cheers,
Erik

Referer

Posted by Anja <an...@phoning.de>.

Kann man Link-Klicks von einer bestimmten Seite so abarbeiten, dass sie
nicht auf der normalen Adresse, sondern einer speziellen Seite landen?
Wir werden häufig in einem bestimmten Forum gelinkt, was uns nicht paßt. Den
Weg über Anwalt usw. wollen wir nicht gehen, stattdessen eine andere Seite
dazwischen schalten.

Danke Euch.
Anja



--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Apache SSL

Posted by Frank Thommen <ft...@inf.ethz.ch>.

Hallo Silvio,

> Also habe ich bei der psw.net ein Zertifikat bestellt,
> und wie folgt eingerichtet.
> <>
> openssl genrsa -des3 -out hserverbiz.key 1024
> openssl genrsa -out hserverbiz.key 1024
> openssl req -new -key hserverbiz.key -out hserverbiz.csr
> </>
> 
> Danach habe ich den Inhalt des mir geschickten Zertifikates
> in das csr kopiert. Leider startet der Apache-SSL nicht mehr.
> 
> /var/log/apache/
> [Mon Mar 14 23:03:02 2005] [crit] Error reading server certificate
> file /etc/apache/hserverbiz.csr
> [Mon Mar 14 23:03:02 2005] [crit] error:0906D06C:PEM routines:
> PEM_read_bio:no start line
> 
> Folgendes habe ich bekommen:
> Eine Textdatei mit den Zertifikat, eine Startssl.csr das war es.

Das *.csr ist soweit ich weiss ein Certificate Signing Request, also
erst die Anfrage an die CA (psw.net) um eine Zertifizierung Deines
privaten Keys (hserverbiz.key).  Von der CA muesstest Du ein Zertifikat
zurueckerhalten (vermutlich die Textdatei, die Du erwaehnst).  Es sollte
das verschluesselte Zertifikat (zwischen '-----BEGIN CERTIFICATE-----'
und '-----END CERTIFICATE-----' enthalten).  Dieses File zusammen mit
einem File, wo Dein persoenlicher Key drin ist muesstest Du dann mit
Apache verwenden koennen.

Ich hoffe das stimmt so ungefaehr.  Ich habe den Ablauf aus den Skripten
abgeleitet, die unsere "selbstgebrauten" Zertifikate generieren.

frank

-- 
Next absence: March 21 - March 24, 2005

Frank Thommen
System Management & Support                        +41 44 63 27208
Inst. of Computational Science ETH            fthommen@inf.ethz.ch
ETH Zentrum / HRS, CH-8092 Zuerich       www.inf.ethz.ch/~fthommen

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------