SSL-Zertifikate

[Anonymous]

Hallo,

wer kennt ein gutes FAQ und How-To um sich in das SSL-Zertifikat Thema einzuarbeiten?

Wer kann über Erfahrungen mit Zertifikaten von CACERT.ORG berichten und hat die womöglich schon auf einem Server installiert?

Ich schraube grade an einer Webapplikation unter JBoss 4.0.1 SP1 rum und will nun noch SSL samt Zertifikat reinbringen.

Auch Buchempfehlungen sind willkommen... .

Regards,
Axel

[captaincrunch]

Wer kann über Erfahrungen mit Zertifikaten von CACERT.ORG berichten und hat die womöglich schon auf einem Server installiert?

Bis auf die Tatsache, dass das root-Zertifikat immer noch nicht direkt im Browser integriert ist, ist die Organisation des Ganzen sehr seriös. Ich betreibe meine Sachen mittlerweile nur noch mit CACert-Zertifikaten.

[Anonymous]

Wer kann über Erfahrungen mit Zertifikaten von CACERT.ORG berichten und hat die womöglich schon auf einem Server installiert?

Bis auf die Tatsache, dass das root-Zertifikat immer noch nicht direkt im Browser integriert ist, ist die Organisation des Ganzen sehr seriös. Ich betreibe meine Sachen mittlerweile nur noch mit CACert-Zertifikaten.

Und wie steht es mit dem How-To? Wie hast Du Dich eingearbeitet, ohne jedes Byte nachvollziehen zu müssen? Gab es ein Buch, Webseite, etc, dass Dir weiterhalf?

Gruss,
Axel

[captaincrunch]

HowTo's etc. gibt's zuhauf im Netz. Was (oder genauer: welche Applikationen) willst du denn mit SSL ausstatten?

[daemotron]

Hi,

ich kann Dir "Praktische Kryptographie unter Linux" von Lars Packschies empfehlen (ist bei open source press erschienen). Damit hast Du sowohl Theorie (Algorithmen etc.) als auch Praxis für die wichtigsten Krypto-Systeme unter Linux (GnuPG und OpenSSL).

Gruß
Jesco

[highlander]

ich würde mich auch über ein howto für cacert.org freuen ;-)

[felixs]

Prinzipiell gibt es extrem viele Howtos und bei CAcert läuft das ganze fast genauso ab wie bei einer kommerziellen Zertifizierungsstelle, gerade im technischen Bereich.

Ich habe für mich die Zertifikatsgenerierung mal festgehalten, damit ich nicht immer wieder nachschauen muss:
http://www.felix-schwarz.name/SSL/X.509 ... generieren

Zur SSL-Einbindung hier eine Zusammenfassung: http://www.felix-schwarz.name/Apache_mit_SSL_einrichten

Als kleiner Tipp würde ich bei CAcert derzeit auf jeden Fall empfehlen, seine Schlüssel mit dem Class1-Zertifikat signieren zu lassen, da es in letzter Zeit immer mal wieder hakte beim Class3, außerdem ist das schwieriger zu installieren.

fs

[highlander]

super, vielen dank :)

[lord_pinhead]

@Felix
Wobei das nur für einen Vhost bzw. eine Domain gilt. Wenn du mehrere Domains hast, musst du die config abändern und mehrere CommonNames verwenden.

So sieht meine derzeitige Config aus und sollte es eigentlich für den durchschnittlichen gebrauch tun:

Code: Select all

RANDFILE = /etc/ssl/apache.rand

[ req ]
default_bits = 2048
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
C=Land
ST=Bundesland
L=Stadt
O=hauptdomain.tld
OU=Organisationunits
CN=domain.tld
emailAddress=webmaster@domain.tld

0.commonName = Domain1.tld
1.commonName = Domain2.tld
2.commonName = Domain3.tld

[ cert_type ]
nsCertType = server

Danach nur noch die Befehle

Code: Select all

openssl genrsa -out apache.key 2048
openssl req -new -config apache.conf -key apache.key -out apache.csr

und du hast deinen CSR den du bei CACert per Copy and Paste einfügen kannst, danach nur noch den Key und das Zertifikat zusammenfügen und einbinden. Wildcardzertifikate erkennt CACert nicht an, also ist das dortige Wiki etwas falsch beschrieben. An sich ganz einfach, IE erkennt das Zertifikat aber glaub ich nicht an, hab ich nie getestet ob er den Aussteller nicht zurückweißt.

[felixs]

@Felix
Wobei das nur für einen Vhost bzw. eine Domain gilt. Wenn du mehrere Domains hast, musst du die config abändern und mehrere CommonNames verwenden.

Nicht unbedingt. Ich nehme einfach mehrere IP-Adressen. Aber der Hinweis ist natürlich richtig: Wer mit einem Zertifikat mehrere Domains abdecken will und kein Wildcardzertifikat nimmt/nehmen kann, braucht eine andere Config.

Wildcardzertifikate erkennt CACert nicht an, also ist das dortige Wiki etwas falsch beschrieben.

Das halte ich für ein Gerücht. Ich habe bei CAcert erfolgreich Wildcardzertifikate beantragt.

fs

[antondollmaier]

CACert akzeptiert "*.meinedomain.tld", falls du "meinedomain.tld" erfolgreich bestätigt hast ...

"*" als CN wird nicht akzeptiert ...