Strato Power - Abweichender Servername und SSL

L

linuxpfeiffe

Registered User
Hallo,

ums vorauszuschicken, bevor ihr mich schlagt:
Ich hab hier bereits nach SSL gesucht und ziemlich alles dazu gelesen.

Leider gibt es zu meinem speziellen Prob keine Antwort, deshalb der neue Thread.

Ich hab einen Strato Power Server mit Serveradmin24(Visas) und Apache2 etc.

Dieser hat ja immer einen vorgegebenen Servernamen, z.B. "h123456.serverkompetenz.net" oder so...

Weil ich das nicht wollte, hab ich mir von Strato einen Workarround senden lassen, der im Visas den Servernamen auf meinen Domannamen patcht.

Dies funktionierte auch wunderbar, ABER:

Das ursprünglich vorhandene Standard- (open-?) SSL Zertifikat des Servers hat natürlich nun einen anderen Server-Namen drin (h123...) und es gibt immer Sicherheitsfehlerhinweise im Browser bei https - Aufrufen.

Wie kann ich nun das Problem beheben?
Wahrscheinlich muss ich ein neues Zert anlegen, aber geht das ohne weiteres?
Oder reicht es, irgendwo einen Eintrag zu ändern?
In der httpd.conf hab ich nichts gefunden...

Muss ich das "alte" vorher irgendwie löschen?

Stehe mal wieder auf dem Schlauch :(

Ich wär für Eure Tips dankbar,

LG
Linuxpfeiffe
-----------------
SSL ist gut und schön
schöner wärs, es würd' auch gehn...
------------------
 
Erlaube mir, wenn auf die schnelle,
ich hier und jetzt ein Urteil Fälle,

nicht alle Doku hast gelesen,
sonst wärest Du nicht hier gewesen,
und hättest diese Frage geschrieben,
sondern wärst mit deinen Fingern bei deiner Mausi geblieben.

Hättest mit einem beliebigem Programm
etwas sinnvolles angefang'
und wärst auch heute schon
Besitzer einer Verschlüsselisation.

Verändern kannst Du am alten Zertifikat nix,
denn Zertifikate heißen leider IMMER Raider und niemals Twix,
soll heißen ein Zertifikat hat EINEN Namen im Bauch,
möchtest Du nen anderen, löst sich Dein Altes auf.

Ich weiß, meine Reimform ist nicht schön,
für erste Schritte sollt' es trotzdem gehn.

Grüße
Sinepp
 
Last edited by a moderator:
Hi Sinepp alter Linux- Schwede,
Remember me, wenn ich so rede?

Mag sein, dass ich nicht alles kenne
was Torwalds Mannen mir gleich nennen.

Doch habe ich gelesen Massen
von Dokumenten, konnts nicht lassen,

mich trotzdem hier als Fragesteller
zu präsentiern - ihr seid halt heller.

Wenn ich dieser Linuxwelt
mich bisher hab nur vorgestellt

als alter Fensterbauer - Mann
der SSL nicht fassen kann

dann eil herbei als treuer Held
der mir Apache auch erhellt.

Schau her, die Frage ist doch einfach,
als wenn ich Frühlingszwetschgen einmach.

Sag an, wie änder ich den Host
den SSL mir zugeschoßt?

Und lass mich nun nicht weiter schleimen,
da ich nicht suchen will nach Reimen,

die Deinen Namen "Sinepp" mir
als Reimziel auferlegen hier.

LG
Linuxpfeiffe
--------------------------------
...der sich über Sinepps Antwort freute :)
PS: Alter SA- Mitstreiter, läuft Dein mail?
 
also nochmal ohne Reim ;)

Ich installier also einfach das "neue" Zert wie beschrieben ?
(die Anleitung hab ich auch schon gefunden, aber auf einer anderen Seite)

Wollte nur mal fragen, bevor ich 5 verschiedene Certs hab und keins funzt...

:confused:

LG

Linuxpfeiffe
------------------
Ein jedes Board hat seinen Reimer
doch besser ists als Mutter Beimer
 
Ich versuchs mal ohne Reim.

Schauen wir uns mal das Zertifikat der Deutschen-Bank.de an (was erst zum Einsatz kommt, wenn man die Url: https://meine.deutsche-bank.de eingibt.

Dort steht unter anderem so etwas wie:
CN = meine.deutsche-bank.de
OU = Terms of use at VeriSign, Inc. - Redirect (c)00
O = Deutsche Bank AG
L = Frankfurt am Main
ST = Hessen
C = DE

Und dieser CN sorgt dafür, dass sich mein Browser nicht beschwert, denn ich rufe ja meine.deutsche-bank.de auf und für diese URL wurde das Zertifikat auch ausgestellt. Das wars.

D.h. wenn Du selber ein Zertifikat erstellst wird natürlich der User auch eine Anfrage seitens Browser bekommen, da der Herausgeber (OU) nicht in die Liste seiner Zertifizierungsstellen eingetragen ist - aber wenn der CN passt, kommt zumindest dazu nichts.

D.h. aber wiederum, wenn Du garkeine Nachfragen willst, weder dass die OU nicht passt noch dass der CN falsch ist - dann wirst Du Dir ein Zertifikat holen müssen von einer CA (Certification Authority heißt das manchmal, manchmal auch Clemens und August) die gängig ist, sprich IE und Firefox kennen. Kostet etwas Geld und funktioniert erstmal nur einmal pro Domain und IP Adresse.

Sprich hast Du eine IP Adresse und N Domains, kannst Du nur für eine dieser Domains ein SSL Zertifikat ohne Nachfragen nutzen. Es gibt hier im Forum, für den Fall dass Du es brauchst auch Ideen, wie man mit nur einer IP und N-Domains trotzdem N Zertifikate ohne Probleme benutzen kann...

Grüße
Sinepp

Ps.:
Amazon steht Pate schon,
für Linuxpfeiffes Expertise,
so wird gepflanzt auf grüner Wiese,
ein Pflänzchen namens "Linux - Liese".
 
Sinepp, super :D

erstens ist es nett von Dir, auch Linux- Pfeiffen eine normale Antwort zu geben, zweitens hab ich mich über Linux-Liese nassgelacht.

Also ein offenes RRRRRRRRRespekkt!

Dass das mit mehreren Domains klappen muss, dachte ich mir schon, da es auf den Strato V-Servern (Du weisst schon, die Plesk- Kisten) ja auch so läuft.

Ich werd mal mein Glück versuchen und berichte Dir.

Übrigens will ich ja wirklich dazulernen und hab mir mal einen "alten" Server hingestellt, um ein Linuxsystem zu installieren.
Das Ding hat 1,4 GHZ und 512 MBRAM und sollte dazu ausreichen.

Die Installation (Debian) ist vieeeeel einfacher, als ich dachte, aber die Konfiguration wird sicher anspruchsvoll :rolleyes:

Also Du siehst, ich will es wissen,

Danke nochmal für Deine Antwort.


LG

Linuxpfeiffe
-----------------------
Sinepp ist mein stolzer Ritter,
ohne ihn wärs hier recht bitter.

Antwort auf solch leichte Fragen
können Profis nicht ertragen.

"Soll er doch ein Buch sich kaufen
oder in nen Kurs rein laufen,

wo er Linux dann beherrscht
und uns hier gar nicht mehr nervt."

Doch vergesst nicht, Linuxleute
und das sage ich Euch heute:

Auch Ihr habt klein angefangen,
seid mit Frust ins Bett gegangen.

Dankt Sinepps Ahnen, die Euch rieten
und Euch nicht als "Pfeiffen" mieden.

Denkt dran bei der nächsten Pfeiffe
HELFT DEN DOOFEN!
Ohne Schweife...
 
Ein bischen weiter, aber nicht viel...

Ich hab nun nach der von Sinepp erwähnten Anleitung mächtig viele .pem- dateien im Verz root/ca, aber finde nix, woher ich nun die in die benötigten .key bzw. .crt- Dateien bekomme.
In der Anleitung heisst es nur am Schluss:

"Wohin sie die Zertifikate installieren, hängt natürlich vom jeweiligen Serverdienst ab"

Klar, wär also Apache2, aber wie???

Wahrscheinlich ist es ein openssl- Befehl (Export??), aber wenn ich so vorgehe, wie ich es im Netz gefunden hab (Sinngemäß so:
Code: 
openssl rsa -in privkey.pem -out test-zertifikat.key
startet mein Apache nicht mehr :(

Also erneut der Hilferuf ans Forum:
Woher kriege ich die .key und .crt aus der .pem

LG
Linuxpfeiffe
------------------
Wurschtl mit der .pem
kriege noch die Flemm

Fehlt mit crt und key
Mann das lern ich nie :(
 
OK,

Problem erstmal behoben...?

ich hab das Problem behoben, indem ich einfach mal rumprobiert hab:

Ich hab die erstellten .pem - Dateien mit ihrem Pfad in die httpd.conf eingetragen:
Code: 
SSLCertificateFile /root/ca/servercert.pem
SSLCertificateKeyFile /root/ca/serverkey.pem

Damit es unter dem Serveradmin24- Login auch läuft (Port 2222) musste ich die selbe Eintragung auch in der Datei httpd.visas ändern.

Ich hoffe, das war kein Fehler...

Jedenfalls läuft es so, der neue Domainname wird im Cert angezeigt.

Woran ich aber noch verzweifele, ist die Serveradmin24- eigene SSL- Behandlung.

Aber weil das ein anderes Thema ist, mach ich einen neuen Thread auf...

LG

Linuxpfeiffe
---------------
SSL ist korrigiert
Glück gehabt mit rumprobiert
 
You must log in or register to reply here.
Back
Top