SSL und Lighttpd

Apache, Lighttpd, nginx, Cherokee
User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: SSL und Lighttpd

Post by daemotron » 2010-11-06 10:50

Wie sieht denn Deine Konfiguration aus? Normalerweise funktioniert so etwas:

Code: Select all

$SERVER["socket"] == ":443" {
        ssl.engine  = "enable"
        ssl.pemfile = "/usr/local/etc/ssl/server.pem"
        ssl.ca-file = "/usr/local/etc/ssl/root.crt"
}
Wobei server.pem sowohl Key als auch Zertifikat enthalten muss. In root.crt ist das Zertifikat der unterzeichnenden Authority drin. Kann auch eine komplette Chain sein, wenn es da Zwischeninstanzen gibt.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: SSL und Lighttpd

Post by daemotron » 2010-11-06 11:57

matzewe01 wrote:Denn bisher schimpft mein Broser noch mit mir, dass das Zertifikat von einer unbekannten Instanz signiert wird.


Blöde Frage, aber ist das Root-Zertifikat der von Dir verwendeten CA überhaupt im Browser als vertrauenswürdige CA bekannt? Falls ja, lass mal Firefox auf die Seite los, dort gibt es die Option, sich das Zertifikat anzeigen zu lassen. Vielleicht gibt das schon einen Schubs in die richtige Richtung...
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SSL und Lighttpd

Post by Joe User » 2010-11-06 12:30

Mit dem Klick auf "vertrauen" bestätigst Du nur, dass Du dem Zertifikat für diese eine Domain vertraust. Um auch dem CA-Zertifikat dauerhaft zu vertrauen ist etwas mehr Arbeit erforderlich, siehe zum Beispiel http://wiki.cacert.org/BrowserClients
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SSL und Lighttpd

Post by Joe User » 2010-11-06 12:51

Da helfen nur die teuren Thwate oder VeriSign Zertifikate. Andererseits kann man dem Kunden einen Klick auf "Vertrauen Sie diesem Zertifikat" durchaus zumuten, ist ja nur einmalig pro Client nötig. Eine Rundmail an die Kunden mit Angabe des Fingerprints zum Gegenprüfen bei Bedarf sollte genügen. Wenn man das Zertifikat austauscht (alle ein bis drei Jahre) müssen die Kunden halt nochmals Klicken, IMHO zumutbar.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SSL und Lighttpd

Post by Joe User » 2010-11-06 13:17

Nach meinem Verständnis müsste hier wirklich das "Platinum"-Zertifikat her. Der Kunde soll sich bei den Kosten aber dringend vorher beim PSW-Support darüber informieren, ob das Zertifikat die gewünschten Eigenschaften erfüllt und wie die Personen/Firmen-Validierung genau abläuft. 120EUR/Jahr setzt man ja nur ungern in den Sand.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

papabaer
Userprojekt
Userprojekt
Posts: 170
Joined: 2009-05-14 17:40
Location: Halle (Saale)

Re: SSL und Lighttpd

Post by papabaer » 2010-11-06 13:26

Das tut schon, wenn man das hier beachtet:

http://kb.psw.net/questions/13/view/

Stichwort ist intermediate certificate, wird auch von lighty mit der Option ssl.ca-file unterstützt.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: SSL und Lighttpd

Post by daemotron » 2010-11-06 13:30

Hm, also das Thawte 123 (das steckt ja hinter dem LimitBreaker) müsste eigentlich im Browser funktionieren - das Zwischenzertifikat von PSW muss serverseitig in der Chain mit angeboten werden - dazu wäre dann die direktive ssl.ca-file in Lighty zuständig. Wenn die komplette Chain (Zwischenzertifikat + Master-Zertifikat von Thawte) in ein PEM-File kopiert und dort angegeben wird, sollte ein Client wie FireFox eigentlich erkennen, dass der ursprüngliche Aussteller bereits in den vertrauenswürdigen CAs drin ist.

P. S. oops, papabaer war schneller :wink:
Last edited by daemotron on 2010-11-06 13:31, edited 1 time in total.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: SSL und Lighttpd

Post by EdRoxter » 2010-11-12 12:00

Wollte gerade sagen - steht in der Produktbeschreibung bei PSW aber auch drin, dass die bei Limitbreaker (=Thawte SSL123) jetzt mit Intermediate-Zertifikat arbeiten. Entsprechende Anleitungen zum Einbinden in die Serverkonfiguration gibt's auf deren Webseite auch.
Wenn man nicht gerade EV braucht/will, ist Limitbreaker/SSL123 vollkommen ausreichend.