Quelle: http://idienstler.de/2845/tutorial-ein-eigenes-tlsssl-zertifikat-bei-startssl-beantragen/
Bei dem israelischen Anbieter StartSSL kann man sich kostenlos ein eigenes TLS/SSL-Zertifikat beantragen.
Die Laufzeit für das kostenlose TLS/SSL-Zertifikat beträgt dabei 1 Jahr. Nach dem Jahr kann man sich aber wieder ein neues holen oder das bestehende verlängern lassen.
Da die Geschichte zwar relativ einfach klingt in der Praxis aber etwas unübersichtlich ist möchte ich im Rahmen eines Tutorials an dieser Stelle einmal zeigen was man genau machen muss.
1. http://www.startssl.com aufrufen
2. Im Menü auf “Control Panel” klicken
3. Wenn man ein neuer User bei StartSSL ist dann auf “Sign-up” klicken. Dort alle Daten wahrheitsgemäß und vollständig ausfüllen und das Formular abschicken. Wenige Augenblicke danach bekommt man eine E-Mail. In dieser E-Mail befindet sich ein Authentification-Code. Diesen Authentification-Code muss man dann bei StartSSL auf der Webseite eingeben. Danach kann man sich einen neuen privaten Schlüssel erzeugen lassen. Hier am besten die höchste Einstellung also 2048 Bit wählen. Wenn der private Schlüssel erzeugt wurde dann kann man ihn im Browser installieren. Gleichzeitig sollte man sich davon auch ein Backup machen. Das ist ganz wichtig denn wenn man sich kein Backup macht dann kann man bis zum Ablauf des privaten Schlüssels nicht mehr auf sein StartSSL-Konto zugreifen.
Wenn man ein bestehender User bei StartSSL ist dann auf “Authenticate” klicken. An dieser Stelle wird überprüft ob der private Schlüssel der beim Sign-up bei StartSSL erstellt worden ist vorhanden ist. Wenn nicht dann muss man den privaten Schlüssel aus seinem Backup importieren. Hat man kein Backup seines privaten Schlüssels angelegt dann hat man ein Problem. Laut FAQ muss man in diesem Fall warten bis der private Schlüssel abgelaufen ist. Oder: man registriert sich mit einer neuen E-Mail einen neuen Account und kontaktiert dann am besten StartSSL und schildert den Fall.
4. Im Control Panel den Reiter “Validations Wizard” aufrufen. Dort zunächst “Domain Name Validation” auswählen.
Im sich daraufhin öffnenden Fenster den Domain-Namen und die Domain-Endung eingeben für die man ein TLS/SSL-Zertifikat erstellt haben möchte.
Auf der Folgeseite kann man zwischen 3 E-Mail-Adressen wählen an die man eine E-Mail erhalten möchte um nachzuweisen dass man der Inhaber der jeweiligen Domain ist. Diese E-Mail sollte man vorher unbedingt schon eingerichtet haben eh man StartSSL seine Entscheidung mitteilt. Denn unmittelbar danach wird einem ein Bestätigungscode an diese E-Mail-Adresse geschickt.
Der Bestätigungscode muss dann in das Feld für den “Verification Code” eingetragen werden,
Im Anschluss wird einem mitgeteilt man hat jetzt noch 30 Tage Zeit seine TLS/SSL-Zertifikate zu generieren.
5. Also weiter gehts und auf “Certificate Wizard” klicken. Dort als Certificate Target “SSL/TLS Certificate” auswählen.
Den Schritt “Generate Private Key” mit einem Klick auf “Skip” überspringen. Es ist immer besser wenn man den auf seinem Server und nicht online generiert.
Auf der darauf folgenden Seite wird man nun gebeten die Certificate Request einzugeben.
Die kann man wie folgt generieren:
root@server:~
root@server:~
|
Nun kann man die erzeugte .csr-Datei mit vi öffnen und den gesamten Inhalt bei StartSSL in das leere Textfeld einfügen.
Nach dem Absenden bestätigt StartSSL einem noch einmal den Erhalt der Datei.
Im nächsten Schritt “Add Domain” gibt man “www” (ohne Anführungsstriche) ein und klickt auf “Continue”.
Dann erfolgt noch einmal eine Abfrage die man mit einem Klick auf “Continue” bestätigen kann. Auf der nächsten Seite bekommt man man seine “ssl.crt” angezeigt. Die kann man mit vi abspeichern.
Außerdem kann man das Intermediate und das Root CA Zertifikat downloaden.
root@server:~
root@server:~
|
Mit den im Laufe des Tutorials 4 erstellten Dateien
- ca.pem
- sub.class1.server.ca.pem
- ssl.crt
- yududi.de.key
kann man nun zum Beispiel HTTPS im Apache2 einrichten. Ein einfacher VirtualHost würde in diesem Fall in etwa so aussehen:
<VirtualHost *:443>
ServerName yududi.de
ServerAlias *.yududi.de
DocumentRoot
"/var/www"
SSLEngine on
SSLCertificateFile
/etc/apache2/ssl/ssl
.crt
SSLCertificateKeyFile
/etc/apache2/ssl/yududi
.de.key
SSLCertificateChainFile
/etc/apache2/ssl/sub
.class1.server.ca.pem
SSLCACertificateFile
/etc/apache2/ssl/ca
.pem
Options -Indexes
<
/VirtualHost
>