OpenSSL - Strato easy SSL

[Kohli]

Hallo zusammen!

Ich bin gerade dabei mir ein Easy SSL Zertifikat bei Strato einzurichten. Dazu musste ich OpenSSL installieren. Dies läuft soweit ganz gut.

Wenn ich allerdings das erstellte Zertifikat nutzen wollte, bekam ich die Meldung, dass die Domain nicht korrekt sei und das Format nicht stimmt. Ich wollte gerne mit Euch die möglichen Einstellungen durchgehen, ob ich eventuell hier einen Fehler gemacht hatte.

Erstellen des Zertifikates mit
openssl req -new -nodes -out req.pem -keyout key.pem

Country Name: de
Stare: Brandenburg
Locality: Brieselang
Organization: Kohli.de
Organizational Unit Name: Kohli.de
Common Name: Rene Kohl
EMail: admin@kohli.de

Password: leer
Optional Company: leer

Danach folgen folgende Befehle:
openssl rsa -in key.pem -out new.key.pem
openssl x509 -in req.pem -out ca-cert -req \
-signkey new.key.pem -days 999

cp new.key.pem /etc/certs/key.pem
rm new.key.pem
cat ca-cert >> /etc/certs/cert.pem
rm ca-cert


Im Anschluss habe ich drei Dateien:
cert.pem
key.pem
req.pem


Bei der Anmeldung nutze ich den Inhalt von cert.pem:

-----BEGIN CERTIFICATE-----

blablabla

-----END CERTIFICATE-----


Habe ich was falsch gemacht?


Gruß Rene

 

[Kohli]

Habe noch ein Bild der Fehlermeldung angeheftet:

 

[Whistler]

Common Name: Rene Kohl

Der Common Name muß genau der Domainname sein, den das Zertifikat signieren soll, also z.B. www.kohli.de.

 

[Kohli]

Jetzt bekomme ich diese Meldung:


Der eingefügte CSR entspricht nicht dem PEM Format.
Der eingefügte CSR gehört zu einem Schlüsselpaar mit unzulässiger Schlüsselstärke. Erlaubte Schlüsselstärken sind (in Bit) 1024 2048 4096 8192

 

[Whistler]

Hallo,

da geht einiges durcheinander.

Zunächst mal hier ein Link auf eine sehr ausführliche Anleituung von Strato: http://www.strato-faq.de/artikel.html?id=2169

Zu den Fehlermeldungen:

Deine Anleitung scheint zur Erstellung selbstsignierter Zertifikate zu sein.
Den Schritt "openssl x509" machst nicht Du, sondern Thawte.
Die im ersten Schritt erstellte req.pem ist das einzige, was Du Thawte übermitteln must.

Auf der Seite steht ja eindeutig, daß der Block mit "-----BEGIN NEW CERTIFICATE REQUEST-----" beginnen muß.
Eine Datei mit "-----BEGIN CERTIFICATE-----" bekommst Du zurück - die brauchst (und kannst) Du nicht selbst erstellen.

 

[Whistler]

Erlaubte Schlüsselstärken sind (in Bit) 1024 2048 4096 8192

Falls Dein openssl eine sehr alte Version ist, könnte es per Default kleinere Schlüssel generieren.

Deswegen würde ich die Keylänge in der Kommandozeile mit angeben:

openssl req -new -nodes -newkey rsa:1024 -keyout wunschname.key -out wunschname.csr

PS: Die Keydatei bitte unbedingt sicher aufheben. Ohne Key kannst Du das Zertifikat später nicht benutzen.

 

[Kohli]

Folgende Version ist installiert:
OpenSSL 0.9.8h 28 May 2008

 

[Kohli]

Jetzt hat es geklappt... ich danke Dir!

Da habe ich wirklich einiges durcheinander gebracht. Man... habe noch einiges zu lernen.

Großes Lob! Danke

 

[Kohli]

Habe mir die Dateien kopiert. Kann ich die *.csr und *.key vom Server löschen?

 

[Whistler]

Die .csr - Datei braust Du nicht auf dem Server. Sie wird erst wieder benötigt, wenn Du ein neues Zertifikat beantragst - je nach Gültigkeit des jetzigen also in 1 oder 2 Jahren. Zudem stellt Thawte Verlängerungen meist automatisch (von den archivierten Daten) aus - ohne daß Du die csr neu einsenden mußt.

Der Key ist der private Teil des Schlüssels, den derjenige kennen muß, der damit seine Inhalte schützt. I.d.R. ist das Dein Webserver - und damit muß er natürlich dort liegen (z.B. bei Apache defaultmäßig in /etc/apache2/ssl.key, wobei das in der Konfiguration einstellbar ist). Alternativ könnte es z.B. ein TLS-Key für Mail sein, dann gilt sinngemäß das gleiche.

Wichtig ist, daß der Key vor unberechtigtem Zugriff geschützt ist. Wird er kompromittiert, dann kann sich der Dieb als "www.kohli.de" ausgeben und z.B. phischen - genau das soll ja durch SSL verhindert werden.

 

[Kohli]

Icke nochmal!

Die SSL Zertifizierung habe ich erfolgreich abgeschlossen. Jetzt steht in den Strato FAQ, ich soll in PLESK auf Server klicken. Leider habe ich keinen solchen Menüpunkt.

Ich nutze die Version 9.2.1


Deswegen habe ich auf Domain geklickt... und dort unter SSL das Zertifikat erfolgreich eingebunden. Bei IP Adressen kann ich leider das eingerichte Zertifikat nicht auswählen. Leider ist meine Domain weiterhin unsicher. Was kann ich noch tun?


Zu den FAQ
http://www.strato-faq.de/artikel.html?sessionID=06c18ac6fa69e144010eeb2ddcee0248&id=91

 

[Kohli]

Habe es unter Einstellung gefunden und auch dort eingebunden.

Meine seite ist immer noch unsicher... muss ich noch weitere Einstellungen vornehmen.


Anmerung. Nur bei einer Subdomain bekomme ich die Warnmeldung. Bei der Hauptdomain nicht. Geht das überhaupt auch für Subdomains?

 

[Thunderbyte]

Geht das überhaupt auch für Subdomains?

Damit Du mehrere Domains auf einem Server sichern kannst, brauchst Du ein sogenanntes "Wildcard SSL Zertifikat".

Wie unter http://www.geotrust.com/de/ssl/wildcard-ssl-certificates/
zu sehen, wird das aber wohl Deinen finanziellen Rahmen ein klein wenig sprengen.