Sie befinden sich im Service: Public-Key-Zertifikate

Einbindung des SSL-Zertifikats

Einbindung des SSL-Zertifikats

Erhalt des Serverzertifikats

  • Exemplarisch hier für die Browser verankerte GÈANT/TCS PKI:
  • Sie erhalten eine digital signierte E-Mail vom "ra-portal-noreply@itc.rwth-aachen.de" mit der Information, dass ihr SSL-Zertifikat ausgestellt wurde.
  • Wenn Sie das ra-portal.itc.rwth-aachen.de benutzt haben um das Zertifikat zu beantragen, dann können Sie über dieses ihr SSL-Zertifikat herunterladen, es werden drei download-Optionen angeboten:
    • nur das SSL-Zertifikat
    • SSL-Zertifikat mit Zertifikatskette (1. ssl-cert, 2. intermediate-cert, 3. intermediate-cert)
    • nur die Zertifikatskette (1. intermediate-cert, 2. intermediate-cert)
    • Das Root-Zertifikat wird nicht geliefert
    • Die Zertifikatskette (nicht das Root) ist abhängig vom Schlüsselalgorythmus und Beantragungsweg),  bitte die Nutzung der korrekten Zertifikatskette beachten/prüfen.

Einbindung des Serverzertifikats

Sie benötigen

  • die erhaltene Zertifikatsdatei
  • die von Ihnen erzeugte und gespeicherte Datei mit dem Schlüsselpaar (private.pem)
  • die Zertifikatskette (nicht das Stamm/Root-Zertifikat)

Je nach verwendeter Server-Software müssen diese Dateien in andere Formate konvertiert werden.

  • Konvertierung von DER auf PEM Format: openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
  • Konvertierung von PEM auf DER Format: openssl x509 -in cert.pem -inform pem -outform der -out cert.der

Apache

Apache verwendet PEM formatierte Schlüsselteile, sodass eine einfache Integration Ihrer Schlüsselteile möglich ist.

Dabei sind in der „httpd.conf“ folgende Punkte besonders zu beachten:

  • SSLCertificateFile: das ausgestellte SSL-Zertifikat
  • SSLCertificateKeyFile: das von Ihnen erzeugte private Schlüsselteil
  • SSLCertificateChainFile: die Zertifizierungskette als PEM formatierte Datei

lighttpd

Wie auch der Apache verwendet lighttpd Schlüsselkomponenten im PEM-Format, so das keine Formatkonvertierungen notwendig sind.

In der Konfiguration sind folgende Punkte besonders zu beachten:

  • ssl.engine = "enable"
  • ssl.pemfile: Kombination aus
    • privaten Schlüsselteil (z.B. „private.pem“)
    • erhaltenes SSL-Zertifikat
    • erzeugen z.B. via „cat private.pem cert-<Seriennummer>.pem > server.pem“
  • ssl.ca-file: die komplette Zertifizierungskette als PEM formatierte Datei

Microsoft IIS

Für die Verwendung Ihres Zertifikats müssen Sie aus Ihrem privaten Schlüsselteil und Ihrem Serverzertifikat eine „pkcs12“-Datei erstellen. Dies kann mit OpenSSL erfolgen:

openssl pkcs12 -export -in cert-<Seriennummer>.pem –inkey private.pem -out Ihre_neue_PKCS12_Datei.p12 -name "My Certificate"

  • Verwenden Sie dazu als "cert-<Seriennummer>.pem" das von der PKI ausgestellte Serverzertifikat.
  • Die Datei „private.pem“ muss Ihrem privaten Schlüsselteil entsprechen.
  • Die dabei neu erstellte Datei „Ihre_neue_PKCS12_Datei.p12“ kann dann in Ihre Server-Software importiert werden.

Die Zertifikatskette (ohne Root-Zertifikat) muss in den CertStore des Servers geladen werden. Auführliche Information erhalten Sie in der online MS Dokumentation.

zuletzt geändert am 06.03.2023

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz