RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

SSL und Lighttpd

https://www.rootforum.org/forum/viewtopic.php?t=51488

Page 1 of 1

Re: SSL und Lighttpd

Posted: 2010-11-06 10:50
by daemotron
Wie sieht denn Deine Konfiguration aus? Normalerweise funktioniert so etwas:

Code: Select all

$SERVER["socket"] == ":443" {
        ssl.engine  = "enable"
        ssl.pemfile = "/usr/local/etc/ssl/server.pem"
        ssl.ca-file = "/usr/local/etc/ssl/root.crt"
}
Wobei server.pem sowohl Key als auch Zertifikat enthalten muss. In root.crt ist das Zertifikat der unterzeichnenden Authority drin. Kann auch eine komplette Chain sein, wenn es da Zwischeninstanzen gibt.

Re: SSL und Lighttpd

Posted: 2010-11-06 11:57
by daemotron
matzewe01 wrote:Denn bisher schimpft mein Broser noch mit mir, dass das Zertifikat von einer unbekannten Instanz signiert wird.
Blöde Frage, aber ist das Root-Zertifikat der von Dir verwendeten CA überhaupt im Browser als vertrauenswürdige CA bekannt? Falls ja, lass mal Firefox auf die Seite los, dort gibt es die Option, sich das Zertifikat anzeigen zu lassen. Vielleicht gibt das schon einen Schubs in die richtige Richtung...

Re: SSL und Lighttpd

Posted: 2010-11-06 12:30
by Joe User
Mit dem Klick auf "vertrauen" bestätigst Du nur, dass Du dem Zertifikat für diese eine Domain vertraust. Um auch dem CA-Zertifikat dauerhaft zu vertrauen ist etwas mehr Arbeit erforderlich, siehe zum Beispiel http://wiki.cacert.org/BrowserClients

Re: SSL und Lighttpd

Posted: 2010-11-06 12:51
by Joe User
Da helfen nur die teuren Thwate oder VeriSign Zertifikate. Andererseits kann man dem Kunden einen Klick auf "Vertrauen Sie diesem Zertifikat" durchaus zumuten, ist ja nur einmalig pro Client nötig. Eine Rundmail an die Kunden mit Angabe des Fingerprints zum Gegenprüfen bei Bedarf sollte genügen. Wenn man das Zertifikat austauscht (alle ein bis drei Jahre) müssen die Kunden halt nochmals Klicken, IMHO zumutbar.

Re: SSL und Lighttpd

Posted: 2010-11-06 13:17
by Joe User
Nach meinem Verständnis müsste hier wirklich das "Platinum"-Zertifikat her. Der Kunde soll sich bei den Kosten aber dringend vorher beim PSW-Support darüber informieren, ob das Zertifikat die gewünschten Eigenschaften erfüllt und wie die Personen/Firmen-Validierung genau abläuft. 120EUR/Jahr setzt man ja nur ungern in den Sand.

Re: SSL und Lighttpd

Posted: 2010-11-06 13:26
by papabaer
Das tut schon, wenn man das hier beachtet:

http://kb.psw.net/questions/13/view/

Stichwort ist intermediate certificate, wird auch von lighty mit der Option ssl.ca-file unterstützt.

Re: SSL und Lighttpd

Posted: 2010-11-06 13:30
by daemotron
Hm, also das Thawte 123 (das steckt ja hinter dem LimitBreaker) müsste eigentlich im Browser funktionieren - das Zwischenzertifikat von PSW muss serverseitig in der Chain mit angeboten werden - dazu wäre dann die direktive ssl.ca-file in Lighty zuständig. Wenn die komplette Chain (Zwischenzertifikat + Master-Zertifikat von Thawte) in ein PEM-File kopiert und dort angegeben wird, sollte ein Client wie FireFox eigentlich erkennen, dass der ursprüngliche Aussteller bereits in den vertrauenswürdigen CAs drin ist.

P. S. oops, papabaer war schneller :wink:

Re: SSL und Lighttpd

Posted: 2010-11-12 12:00
by EdRoxter
Wollte gerade sagen - steht in der Produktbeschreibung bei PSW aber auch drin, dass die bei Limitbreaker (=Thawte SSL123) jetzt mit Intermediate-Zertifikat arbeiten. Entsprechende Anleitungen zum Einbinden in die Serverkonfiguration gibt's auf deren Webseite auch.
Wenn man nicht gerade EV braucht/will, ist Limitbreaker/SSL123 vollkommen ausreichend.
All times are UTC+01:00
Page 1 of 1