Tutorial: Ein eigenes TLS/SSL-Zertifikat bei StartSSL beantragen

Quelle: http://idienstler.de/2845/tutorial-ein-eigenes-tlsssl-zertifikat-bei-startssl-beantragen/

Bei dem israelischen Anbieter StartSSL kann man sich kostenlos ein eigenes TLS/SSL-Zertifikat beantragen.

Die Laufzeit für das kostenlose TLS/SSL-Zertifikat beträgt dabei 1 Jahr. Nach dem Jahr kann man sich aber wieder ein neues holen oder das bestehende verlängern lassen.

Da die Geschichte zwar relativ einfach klingt in der Praxis aber etwas unübersichtlich ist möchte ich im Rahmen eines Tutorials an dieser Stelle einmal zeigen was man genau machen muss.

1. http://www.startssl.com aufrufen

Screenshot: http://www.startssl.com

 2. Im Menü auf “Control Panel” klicken

Screenshot: http://www.startssl.com

3. Wenn man ein neuer User bei StartSSL ist dann auf “Sign-up” klicken. Dort alle Daten wahrheitsgemäß und vollständig ausfüllen und das Formular abschicken. Wenige Augenblicke danach bekommt man eine E-Mail. In dieser E-Mail befindet sich ein Authentification-Code. Diesen Authentification-Code muss man dann bei StartSSL auf der Webseite eingeben. Danach kann man sich einen neuen privaten Schlüssel erzeugen lassen. Hier am besten die höchste Einstellung also 2048 Bit wählen. Wenn der private Schlüssel erzeugt wurde dann kann man ihn im Browser installieren. Gleichzeitig sollte man sich davon auch ein Backup machen. Das ist ganz wichtig denn wenn man sich kein Backup macht dann kann man bis zum Ablauf des privaten Schlüssels nicht mehr auf sein StartSSL-Konto zugreifen.

Wenn man ein bestehender User bei StartSSL ist dann auf “Authenticate” klicken. An dieser Stelle wird überprüft ob der private Schlüssel der beim Sign-up bei StartSSL erstellt worden ist vorhanden ist. Wenn nicht dann muss man den privaten Schlüssel aus seinem Backup importieren. Hat man kein Backup seines privaten Schlüssels angelegt dann hat man ein Problem. Laut FAQ muss man in diesem Fall warten bis der private Schlüssel abgelaufen ist. Oder: man registriert sich mit einer neuen E-Mail einen neuen Account und kontaktiert dann am besten StartSSL und schildert den Fall.

Screenshot: https://www.startssl.com/?app=12

4. Im Control Panel den Reiter “Validations Wizard” aufrufen. Dort zunächst “Domain Name Validation” auswählen.

Screenshot: https://www.startssl.com

Im sich daraufhin öffnenden Fenster den Domain-Namen und die Domain-Endung eingeben für die man ein TLS/SSL-Zertifikat erstellt haben möchte.

Screenshot: https://www.startssl.com

Auf der Folgeseite kann man zwischen 3 E-Mail-Adressen wählen an die man eine E-Mail erhalten möchte um nachzuweisen dass man der Inhaber der jeweiligen Domain ist. Diese E-Mail sollte man vorher unbedingt schon eingerichtet haben eh man StartSSL seine Entscheidung mitteilt. Denn unmittelbar danach wird einem ein Bestätigungscode an diese E-Mail-Adresse geschickt.

Screenshot: https://www.startssl.com

Der Bestätigungscode muss dann in das Feld für den “Verification Code” eingetragen werden,

Screenshot: https://www.startssl.com

Im Anschluss wird einem mitgeteilt man hat jetzt noch 30 Tage Zeit seine TLS/SSL-Zertifikate zu generieren.

Screenshot: https://www.startssl.com

5. Also weiter gehts und auf “Certificate Wizard” klicken. Dort als Certificate Target “SSL/TLS Certificate” auswählen.

Screenshot: https://www.startssl.com

Den Schritt “Generate Private Key” mit einem Klick auf “Skip” überspringen. Es ist immer besser wenn man den auf seinem Server und nicht online generiert.

Screenshot: https://www.startssl.com

Auf der darauf folgenden Seite wird man nun gebeten die Certificate Request einzugeben.

Screenshot: https://www.startssl.com

Die kann man wie folgt generieren:

root@server:~# openssl genrsa -out yududi.de.key 2048
root@server:~# openssl req -new -key yududi.de.key -out yududi.de.csr

Nun kann man die erzeugte .csr-Datei mit vi öffnen und den gesamten Inhalt bei StartSSL in das leere Textfeld einfügen.

root@server:~# vi yududi.de.csr

Nach dem Absenden bestätigt StartSSL einem noch einmal den Erhalt der Datei.

Screenshot: https://www.startssl.com

Im nächsten Schritt “Add Domain” gibt man “www” (ohne Anführungsstriche) ein und klickt auf “Continue”.

Screenshot: https://www.startssl.com

Dann erfolgt noch einmal eine Abfrage die man mit einem Klick auf “Continue” bestätigen kann. Auf der nächsten Seite bekommt man man seine “ssl.crt” angezeigt. Die kann man mit vi abspeichern.

root@server:~# vi ssl.crt

Außerdem kann man das Intermediate und das Root CA Zertifikat downloaden.

Screenshot: https://www.startssl.com

Mit den im Laufe des Tutorials 4 erstellten Dateien

  • ca.pem
  • sub.class1.server.ca.pem
  • ssl.crt
  • yududi.de.key

kann man nun zum Beispiel HTTPS im Apache2 einrichten. Ein einfacher VirtualHost würde in diesem Fall in etwa so aussehen:

<VirtualHost *:443>
    ServerName yududi.de
    ServerAlias *.yududi.de
    DocumentRoot "/var/www"
    SSLEngine on
    SSLCertificateFile /etc/apache2/ssl/ssl.crt
    SSLCertificateKeyFile /etc/apache2/ssl/yududi.de.key
    SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
    SSLCACertificateFile /etc/apache2/ssl/ca.pem
    Options -Indexes
</VirtualHost>
Dieser Eintrag wurde veröffentlicht in Linux von admin. Setze ein Lesezeichen zum Permalink.