We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Apache SSL mit Startssl


FridgeBoxX
06.06.16, 12:48
Ein Root-Zertifikat sollte ansich nie notwending sein. Der Webserver sowie der Client sollten das immer in der lokalen Datenbank haben. Was fehlen kann ist das Intermediate-Zertifikat. Je nach Zertifikats-Typ findest du hier das richtige: https://www.startssl.com/root

debianfan
06.06.16, 12:33
Zitat Zitat von J-B
Ob .pem oder .csr ist das gleiche :P

Aber bitte gerne
Das einzige Problem ist, dass er im SSL-Certificate Checker

https://www.sslchecker.com/sslchecker

nörgelt, dass er kein "root-Zertfikat" finden kann.

Was ist denn das Startssl Root-Zertifikat und wie binde ich es ein?

J-B
04.06.16, 22:24
Ob .pem oder .csr ist das gleiche :P

Aber bitte gerne

debianfan
04.06.16, 09:31
danke - läuft :-)

debianfan
03.06.16, 19:14
Ich habe keine pem Dateien - ich habe die Daten so erstellt wie im Tutorial angegeben:

openssl req -newkey rsa:2048 -keyout treffen.key -out treffen.csr

--> die csr-Datei habe ich bei Startssl eingereicht - wenn ich dort das Passwort nicht eingegeben habe was er als erstes von openssl verlangt, bricht er die Operation ab

J-B
03.06.16, 12:59
SSLCertificateFile /etc/apache2/ssl.d/ssl-crt.pem <- Zertifikat
SSLCertificateKeyFile /etc/apache2/ssl.d/privkey.pem <- Keyfile
SSLCertificateChainFile /etc/apache2/ssl.d/ca.crt <- Chanfile
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:TLSv1:!AECDH:!3DES:!ADH!ANULL:!ENULL:!NULL:!ID EA:!DES:!RC2:!RC4:!EXP:!MEDIUM:!AES128:!CAMELLIA12 8
SetEnvIf User-Agent ".*MSIE.*" \
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
Entferne das Passwort und Apache fragt nicht mehr nach einem Passwort:

openssl rsa -in privkey.pem -out newkey.pem
Dann bindest du das neue newkey.pem ein, und dann sollte Apache ohne Passwort starten.

debianfan
02.06.16, 19:42
zum einen muss ich beim Start ein Passwort eingeben, d.h. automatischer Start nach einen Reboot ist nich :-( und zum anderen gehts nicht - hier die error_log

[Thu Jun 02 19:39:57.484918 2016] [ssl:emerg] [pid 5167:tid 3074234176] AH02580: Init: Pass phrase incorrect for key 127.0.0.1:443:0
[Thu Jun 02 19:39:57.485057 2016] [ssl:emerg] [pid 5167:tid 3074234176] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jun 02 19:39:57.485082 2016] [ssl:emerg] [pid 5167:tid 3074234176] SSL Library Error: error:0D08303A:asn1 encoding routines:ASN1_TEMPLATE_NOEXP_D2I:nested asn1 error
[Thu Jun 02 19:39:57.485102 2016] [ssl:emerg] [pid 5167:tid 3074234176] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jun 02 19:39:57.485122 2016] [ssl:emerg] [pid 5167:tid 3074234176] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=RSA)
[Thu Jun 02 19:39:57.485142 2016] [ssl:emerg] [pid 5167:tid 3074234176] SSL Library Error: error:04093004:rsa routines:OLD_RSA_PRIV_DECODE:RSA lib
[Thu Jun 02 19:39:57.485161 2016] [ssl:emerg] [pid 5167:tid 3074234176] SSL Library Error: error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
[Thu Jun 02 19:39:57.485180 2016] [ssl:emerg] [pid 5167:tid 3074234176] SSL Library Error: error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error (Type=PKCS8_PRIV_KEY_INFO)
[Thu Jun 02 19:39:57.485219 2016] [ssl:emerg] [pid 5167:tid 3074234176] AH02564: Failed to configure encrypted (?) private key 127.0.0.1:443:0, check /etc/ssl/certs/treffen.key
[Thu Jun 02 19:41:06.858359 2016] [ssl:emerg] [pid 5253:tid 3073951552] AH02564: Failed to configure encrypted (?) private key 127.0.0.1:443:0, check /etc/ssl/certs/treffen.key
[Thu Jun 02 19:41:06.858515 2016] [ssl:emerg] [pid 5253:tid 3073951552] SSL Library Error: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

dabla
02.06.16, 18:45
http://objects.startpki.net/installo...e_startcom.pdf

debianfan
02.06.16, 11:04
Mein Problem mit den bisher verfügbaren HowTo's ist, dass manchmal von "...ChainFile..." und von "...CAFile..." usw. gesprochen wird - verschiedene Formate csr, crt, pem, key, ca und es selbst zwischen Apache 2.4 und 2.5 Unterschiede gibt.

Die "alten Konfigurationen" welche seit Ewigkeiten laufen gehen halt bei 2.4 nicht mehr - da ich nun debian jessie auf der neuen Maschine einsetze, muss ich mich mit dem Thema beschäftigen.

gruß

Sebastian

J-B
02.06.16, 09:05
Was willst den wissen? Wie man ein Zertifikat in einer vHost einbindet?

debianfan
01.06.16, 22:55
Moin zusammen,

hat einer der Mitlesenden einen Tipp für ein gutes HowTo für die Absicherung von Webseiten (Apache 2.4, debian jessie) mit Startssl-Zertifikaten?

Allein dass Apache 2.5 schon wieder einige Dinge anders macht als 2.4 ist ein Problem der bislang vorhandenen HowTo's.

gruß & danke

Sebastian