Apache - SSL Zertifikat - signieren

[venorm]

Hallo,
ich hoffe ich habe hier das richtige Forum gefunden, da ich die zertifikate im apache einbauen möchte.

Folgendes Problem habe ich aber:
Ich erstelle mir ein zertifikat und signiere es selbst. Das ganze habe ich dan eingebaut und es läuft: ABER: Wenn ich mit dem ff 3 z.B. die Seite aufrufe, kommt die Meldung das es gefälscht sein könnte, da es selbst signiert wurde.

Jetzt ist meine Frage: Wie macht z.B. Verisign das ?

Sofern ich das richtig verstanden hab machen die das wie folgt (bitte korrigiert mich wenn es falsch ist):
VeriSign hat ein eigenes Zertifikatfile (crt oder crs wie die Endung nochmal war). Wenn ich jetzt so ein Zertifikat haben will, muss ich auf meinem Server auch so ein File erstellen und dieses an VeriSign übermitteln. VeriSign signiert dann mein Zertifikat mit ihrem Zertifikat, d.h. meins wurde durch eine andere Person bestätigt.

Ist das so in etwa richtig ?

Mein Vorhaben ist nämlich, dass ich hier im internen Netz viele Seiten verwalte und manche sollen anderen Leuten intern sicher vorkommen, deswegen will ich alle wichtigen Adminseiten mit SSL absichern und dafür für die Server SSL Zertifikate signieren.

Kurz gesagt: Ich will VeriSign im lokalen Netz spielen, um mal bissel einfach zu erklären hehe.


Kann mir da einer helfen, wie ich das genau hinbekomme bzw. etwas licht ins klare bringen welche Schritte gemacht werden müssen, also 1. erstelle wie verisign ein eigenes file, 2. lasse den server der gesichert werden soll eins erstellen. 3: signiere es mit deinem file. 4. liefer das zertifikat aus und installiere es aufm server.


Danke im Voraus!

bye,
Venorm

[Roger Wilco]

Das Root-Zertifikat von Verisign (und einigen anderen Anbietern) wird schlicht und ergreifend bereits mit dem Firefox und vielen anderen Browsern ausgeliefert. Das ist bei deinem selbstsignierten Zertifikat nicht der Fall.

Ist das so in etwa richtig ?

Wenn du ein Zertifikat von Verisign wolltest: ja.

Mein Vorhaben ist nämlich, dass ich hier im internen Netz viele Seiten verwalte und manche sollen anderen Leuten intern sicher vorkommen, deswegen will ich alle wichtigen Adminseiten mit SSL absichern und dafür für die Server SSL Zertifikate signieren.

Such mal nach TinyCa.

[venorm]

Aha ok, aber was heißt das für mich ? Bekomme ich die Meldung nicht weg ?

Ich kann ja auch nicht auf allen pcs von wo gearbeitet wird etwas installieren, d.h. die paar server müssen ausgestattet werden und dann solls laufen wie als wäre es mit nem zertifikat von VeriSign.

Ich möchte ja eben das bei den Leuten, welche z.B. einen sicheren Bereich auftreten nicht gewarnt werden weil es selbst signiert, sondern ich möchte, dass es so ist wie als wenn man ein Zertifikat von VeriSign hat, sprich oben im ff steht links dann VeriSign bzw. unser Name.

TinyCA sieht ganz gut aus, aber es basiert nur auf openssl. D.h. da kann ich ein eigenes online panel auf php basis schreiben, wäre für uns einfacher zu managen.

[aubergine]

Du musst dir ein Zertifikat kaufen. Diese gibt es ab 15€ für 1 Jahr.

Da ich hier keine Backlinks zu Firmen setzen möchte setz einfach folgenden Link zusammen: w w w . p s w . n e t

Die sind günstig und beraten dich ausführlich.
Ich / Wir kaufen dort auch.

[freddy36]

Ich möchte ja eben das bei den Leuten, welche z.B. einen sicheren Bereich auftreten nicht gewarnt werden weil es selbst signiert, sondern ich möchte, dass es so ist wie als wenn man ein Zertifikat von VeriSign hat, sprich oben im ff steht links dann VeriSign bzw. unser Name.

Wenn du damit den grün Hinterlegten Kasten meinst, das ist neu in FF3 und bedeutet das es sich um ein EV (Extended Verification). Technisch hat sich nichts geändert. Es wird lediglich die Person die dahinter steht "genauer" überprüft. Das Kostet natürlich deutlich mehr als "normale" Zertifikate...

Für euch gibt es eventuell noch eine kostenlose Alternative: Eine eigene CA. Dabei muss allerdings auf allen Clients das Zertifikat dieser CA importiert werden. Dann meckert FF nicht mehr. Um nen Grünen Kasten in FF zu bekommen musst du jedoch am Source Code herumbasteln und FF neu kompilieren. Die EV CAs sind hardcoded.

Eine weitere kostenlose Alternative zur eigenen CA ist http://cacert.org/ zurzeit muss dort auch noch ein Zertifikat in die Browser importiert werden. In Zukunft könnte das aber auch bereits mit ausgeliefert werden.

Ansonsten bleibt nur Kaufen. Je nach Anzahl an Domains (Wildcards?) kann das auch schnell teuer werden.

[daemotron]

Es gibt auch eine CA, die kostenfreie Zertifikate herausgibt, deren Root-Zertifikat aber bereits bei FF mit ausgeliefert wird => also keine Warnung, auch ohne Import des Zertifikats oder einer zusätzlichen CA. Hier der Link: http://cert.startcom.org/index.php?lang=de

[venorm]

Hi,

also es sollte schon wenns geht kostenlos sein.

Eine andere Idee die mir gerade eingefallen ist: Wie wäre es wenn ich eine Art System aufbaue, welche den Server (ip + domain) auf der die sicheren Daten liegen, selbst in einer DB speicher und im Gegenzug ein kleines Sicherheitslogo auf der Seite anbringe, dass diese Seite von mir geprüft wurde.

Dann wissen ja alle,dass die Seite intern von mir geprüft wurde und keine Daten nach außen weiterleitet.

Und wenn man aufs logo klickt kann man die Validierung prüfen.

Würde das ganze auf domain + ip Prüfung machen, von denen dann per SHA1 ein Hash erstellt wird. Und mal schaun ob ich noch was mit private und public Keys machen kann.

Vielleicht hat von euch einer eine Idee ?

[freddy36]

Keine Ahnung wie du dir das genau vorstellst, aber "Sicherheitslogos" hört sich für mich alles andere als sicher an ;)

Wenn es kostenlos und es auch sicher sein soll wirst du nicht darum herumkommen die an den Clients Änderungen vorzunehmen.

Es ist aber auch nicht schwer unter Firefox ein Zertifikat zu importieren, das sollte jeder Benutzer hinbekommen:
http://wiki.cacert.org/wiki/BrowserClie ... 6cae33fa21

Grundsätzlich sollte man darauf aufmerksam machen die Fingerprints auch wirklich zu vergleichen und nicht nur schnell wegzuklicken.

[venorm]

Ok also nehmen wir an ich importiere dann meine root ca in den clients. Sind folgende Schritte dann richtig was ich machen muss (ich habe jeweils die openssl funktionen mit eingefügt)

1. Authorisierungsserver:

Privaten Key erstellen:

openssl genrsa –des3 –out http://www.mydomain.com.key 1024

Dann das CSR File dazu:

openssl req –new –key http://www.mydomain.com.key –out http://www.mydomain.com.csr

--------------------------------------------------------

2. Auf den Servern die gesichert werden sollen:

das gleiche wie bei Schritt 1 machen und das CSR File an den Authorisierungsserver schicken:


3. Der Authorisierungsserver nutzt per php openssl_csr_sign um das File zu signieren.

Dabei übergebe ich das csr vom authorisierungsserver und das csr vom zu sichernden server.

4. Das zurückgebene Zertifikat wird auf dem zu sichernden Server installiert und das CSR von Schritt 1 bei den Browsern importiert.



Ich hoffe das dass so richtig ist, habs noch net probiert ist jetzt kurz ausm Kopf raus, sind da Fehler oder müsste es so gehen ?

[freddy36]

Du willst das komplett automatisieren?
Jeder kann sich mal eben schnell sein Zertifikat abhohlen?
Da sollte sich schon jemand hinsetzen und die Dinger manuell überprüfen.
Keine Ahnung was man da mit PHP alles tolles machen kann. Es wird aber auch nur auf openssl zurückgreifen.
Selbst wenn, vermutlich wird es deutlich einfacher sein nen TinyCA Befehl per PHP ausführen zu lassen als sich da mit den php Funktionen rumzuschlagen ;)

[snake*sl]

Ich hab jetzt nicht den ganzen Thread gelesen und beziehe mich mal auf Deinen ersten Post.
Wenn Du das Zertifikat nur für das interne Netz brauchst, dann erstelle es doch einfach selbst
und füge bei den Clients eine Ausnahmeregel hinzu.

Diese Möglichkeit ist kostenlos und bringt keine Fehlermeldungen.

Ansonsten schau mal beim Anbieter http://www.psw.net. Die haben auch 'ne Hotline mit kompetenter
Beratung. Außerdem sind deren Zertifikate relativ günstig. VeriSign fände ich etwas übertrieben
für Deine Zwecke.

[venorm]

Der, der die überprüft soll die schnell erstellen können und nicht die Leute selber. Ich dachte das wäre schon logisch.

Und zum letzten Post: Danke, aber ich habe schon vorher geschrieben das von psw kein Zertifikat für 15 euro in Frage kommt.

Ich denke ich werde eine Lösung mit Thawte diskutieren. Habe heute ein Rückantwort per Mail bekommen und werde heute Nachmittag alles telefonisch besprechen. Gibt wohl entsprechende Sonderkonditionen für intern only zertifikate.