Anfängerproblem: SSL einrichten

[adownone]

Hallo Serversupportforum,

da Ihr mir schon öfters geholfen habt, hoffe ich nun auch wieder hier Hilfe zu bekommen. Sie Kundenfreundlichkeit von Strato ist mittlerweile so schlecht, dass es mich als langjährlicher Kunde langsam aufregt.

Nun aber zu meinem Problem:

Ich habe einen Root Server bei o.a. Hoster gemietet. Jetzt nach 2 Jahren habe ich für meine Frau einen OnlineShop auf diesen eingerichtet.

Ich möchte SSL mit einem eigenen Zertifikat einrichten.

So weit - so gut.

Hier sind erstmal die Server Daten:

Betriebssystem: openSUSE 11.0 inkl. Plesk 9.0 x86-64
Plesk Upgedatet auf 9.2.2

Ich möchte ein SSL-Zertifikat über meinen Kundenbetreich kaufen. Da fängt mein Problem schon an:

- Thawte SSL123 Zertifikat -

Wenn ich auf "bestellen" klicke, fragt er mich nach meiner SSL-Software.
Da kann ich unter knapp 30 Dingen auswählen wovon ich von 80% nach nie was von gehört habe.

ApatcheSSL würde für mich am logischsten klingen, da ja der Webserver auf Apache Basis läuft.

Hier würde ich die erste Hilfe brauchen. Ist ApacheSSL richtig ?


Dann zur zweiten Frage. Ich nutze Plesk 9.2.2. Dort kann ich auch SSL Zertifikate hochladen. Ich würde dies gerne auch über Plesk machen, da es einfach ist.

Hat jemand damit schonmal Erfahrung gemacht ? Strato - easySSL - Plesk?
Wenn ja wäre ich auch hier für einen kleinen Kommentar dankbar.


Freundliche Grüße
Tom

PS: Danke schonmal für eure Zeit und fürs lesen.

 

[Ben.]

Was regt dich denn am Strato-Support auf? Dass du einen Root-Server hast und sie dir nicht verraten wie man ihn einrichtet? Frechheit, oder?

Ich würde das Zertifikat nicht bei Strato kaufen, von extern ist es ggf. billiger. Oft bieten diese Herrschaften für wenig Geld auch die Installation an. So kommst du damit billiger als mit dem Strato-Zertifikat.

Zu deinem konkreten Problem kann ich leider nicht viel beitragen, da ich Plesk nicht kenne. Ich finde die Konsole optisch einfach ansprechender.

 

[Whistler]

Strato, Thawte und Plesk bieten jeweils sehr ausführliche Anleitungen, zudem kann man bei Thawte ein kostenloses Test-Zertifikat für 21 Tage bekommen.
"ApacheSSL" bezieht sich nur auf die automatische Verlängerung, ist aber eine sinnvolle Wahl.
Und zu den Preisen gibt es hier auch schon genug Posts, z.B. [post=224585]hier[/post].

 

[Domi]

Ich hab dazu allgemein mal kurz eine Frage und hoffe das ist erlaubt. Ich hab einen Server bei Hetzner, ich kann mir ja auch selber ein Zertifikat anlegen und das dann hinterher signieren (verifizieren?) lassen.

Dann setzt Firma XY da eine Art Verifizierung an und gut ist. Dann wäre mein selbst erstelltes Zertifikat vertrauenswürdig. Oder nicht? Kosten die ALLE Geld, die mein Zertifikat signieren und vertrauenswürdig machen..?

Ich habe zwar bei 1und1 noch einen alten root-Server mit Plesk, wo ein Zertifikat drin ist, aber auf dem neuen Server hätte ich auch ganz gerne ein SSL Zertifikat. Auch wenn es erstmal nur zu testen ist, da ich noch nichts wichtiges auf dem Server habe.

Also SSL funktioniert auch bei mir, hab es eingerichtet und wenn ich meine Domain mit https... öffne, sagt er mir auch das da ein Zertifikat ist was aber nicht vertrauenswürdig ist (logisch, hab ich ja selber erstellt)

Mehr wollte ich gar nicht.
Mfg. Angel

 

[Whistler]

Kosten die ALLE Geld, die mein Zertifikat signieren und vertrauenswürdig machen..?

Nein .

 

[Domi]

Ahh.. Cool, die sind ja sogar 1 Jahr validiert. Dass ist ja genial
Noch eine kleine Frage am Rande, wenn ich mir so ein Zertifikat erstellt habe, dauert es dann ein wenig bei startssl.com, bis die das irgend wie Publik gemacht haben mit meinem Zertifikat?

Ich habe das Zertifikat mal in meiner Seite eingebunden, diese dann mit https geöffnet und dann kam folgendes Fenster,
-> http://www.eltze-info.de/bilder/ssl01.jpg

Ist das normal bei den freien Zertifikaten, oder ist das seit einer bestimmten Version IMMER so, dass diese Meldung kommt?! Ich hab da nie wirklich drauf geachtet

Aber ich kann sagen, wenn das Zertifikat angenommen wurde, sagt er mir in der Adresszeile das ich eine 256bit Verschlüsselung habe

Gruß, Anubis

 

[Whistler]

31.) Why does Firefox present a warning when connecting to my website?

If you receive a warning that the certificate is signed by an "untrusted authority", than the installation of the server certificate isn't complete. You must add the intermediate CA certificate to your installation. This is important, because most browsers will issue an error if this is not properly done. Consult the installation instructions on how to do that. The missing certificate can be obtained from here (choose depending on the class level).

Vermutlich fehlen Dir die Zeilen

SSLCertificateChainFile    /usr/local/apache/conf/sub.class1.server.ca.pem
SSLCACertificateFile       /usr/local/apache/conf/ca.pem

 

[Domi]

Judeldu.. Eine kleine Frage hätte ich da noch was die SSL Geschichte angeht. Kann man pro Server immer nur ein Zertifikat verwenden?

Ich habe ja mehrere Domains auf meinem Server und wollte halt für Domain1 ein Zertifikat verwenden, und für Domain2 auch... Domain1 funktioniert. Läuft sogar problemlos über den 81 Port den SysCP verwendet.

Will ich aber eine 2. Zertifikat einbinden was ich jetzt mit den Rauten auskommentiert habe, kann ich den Apache nicht starten. Da sagt er mir dann (Fehler)... Und bevor ich jetzt groß weiter wühle, wollte ich mal fragen ob pro Server nur ein Zertifikat möglich ist. Denn über google hab ich nur gefunden das man ein Zertifikat für mehrere Server verwenden könnte...

Hier mal mein Beispiel..

NameVirtualHost *:443
<VirtualHost *:443>
 #SSL (START)
 SSLEngine on

 SSLCertificateFile /etc/apache2/ssl/xxx/ssl.crt
 SSLCertificateKeyFile /etc/apache2/ssl/xxx/ssl.key
 SSLCertificateChainFile /etc/apache2/ssl/xxx/ssl.csr

 # SSLCertificateFile /etc/apache2/ssl/xxx2/ssl.crt
 # SSLCertificateKeyFile /etc/apache2/ssl/xxx2/ssl.key
 # SSLCertificateChainFile /etc/apache2/ssl/xxx2/ssl.csr

 SSLCertificateChainFile /etc/apache2/ssl/startssl.com/sub.class1.server.ca.pem
 SSLCACertificateFile /etc/apache2/ssl/startssl.com/ca.pem
 # SSL (ENDE)

 ServerName xxx
 ServerAlias www.xxx
 ServerAdmin xxx
 DocumentRoot "/srv/xxx/httpsdocs/"
 SuexecUserGroup "user001" "user001"
 <Directory "/srv/xxx/httpsdocs/">
   AddHandler fcgid-script .php .php3 .php4 .php5
   FCGIWrapper /var/syscp/fcgi/user001/internet-marketing-hannover.de/php-fcgi-starter .php
   FCGIWrapper /var/syscp/fcgi/user001/internet-marketing-hannover.de/php-fcgi-starter .php3
   FCGIWrapper /var/syscp/fcgi/user001/internet-marketing-hannover.de/php-fcgi-starter .php4
   FCGIWrapper /var/syscp/fcgi/user001/internet-marketing-hannover.de/php-fcgi-starter .php5
   Options +ExecCGI
 </Directory>
 Alias /webalizer "/srv/webs/user001/webalizer"
 ErrorLog "/var/syscp/logs/user001-error.log"
 CustomLog "/var/syscp/logs/user001-access.log" combined
</VirtualHost>

 

[Ben.]

Du benötigst je Zertifikat eine IP.

 

[Domi]

Du benötigst je Zertifikat eine IP.

Ah.. Okay, dann weiß ich nun woran es liegt. Da mein Server ja nur eine IP hat, wird auch nur ein Zertifikat funktionieren Hast mir sehr geholfen.

Danke danke...

 

[Whistler]

Ein möglicher Ausweg wäre Server Name Indication: Eine für alle - Mehrere SSL-Zertifikate pro IP-Adresse unter Apache.

 

[dev]

SNI hängt natürlich auch vom Webserver bzw. dessen Versionsgrad ab. Im Debian Apache ist das z. B. noch nicht eingebaut.

Ansonsten kann man mehrere Zertifikate auch über verschiedene Ports auf einer IP laufen lassen (je Zertifikat ein Port).

 

[stefan-becker]

Wie macht denn das dann Plesk? Die bieten ja mehrer Zertifikate an?