Einbindung des SSL-Zertifikats
- Exemplarisch hier für die Browser verankerte GÈANT/TCS PKI:
- Sie erhalten eine digital signierte E-Mail vom "ra-portal-noreply@itc.rwth-aachen.de" mit der Information, dass ihr SSL-Zertifikat ausgestellt wurde.
- Wenn Sie das ra-portal.itc.rwth-aachen.de benutzt haben um das Zertifikat zu beantragen, dann können Sie über dieses ihr SSL-Zertifikat herunterladen, es werden drei download-Optionen angeboten:
- nur das SSL-Zertifikat
- SSL-Zertifikat mit Zertifikatskette (1. ssl-cert, 2. intermediate-cert, 3. intermediate-cert)
- nur die Zertifikatskette (1. intermediate-cert, 2. intermediate-cert)
- Das Root-Zertifikat wird nicht geliefert
- Die Zertifikatskette (nicht das Root) ist abhängig vom Schlüsselalgorythmus und Beantragungsweg), bitte die Nutzung der korrekten Zertifikatskette beachten/prüfen.
Einbindung des Serverzertifikats
Sie benötigen
- die erhaltene Zertifikatsdatei
- die von Ihnen erzeugte und gespeicherte Datei mit dem Schlüsselpaar (private.pem)
- die Zertifikatskette (nicht das Stamm/Root-Zertifikat)
Je nach verwendeter Server-Software müssen diese Dateien in andere Formate konvertiert werden.
- Konvertierung von DER auf PEM Format: openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
- Konvertierung von PEM auf DER Format: openssl x509 -in cert.pem -inform pem -outform der -out cert.der
Apache verwendet PEM formatierte Schlüsselteile, sodass eine einfache Integration Ihrer Schlüsselteile möglich ist.
Dabei sind in der „httpd.conf“ folgende Punkte besonders zu beachten:
- SSLCertificateFile: das ausgestellte SSL-Zertifikat
- SSLCertificateKeyFile: das von Ihnen erzeugte private Schlüsselteil
- SSLCertificateChainFile: die Zertifizierungskette als PEM formatierte Datei
Wie auch der Apache verwendet lighttpd Schlüsselkomponenten im PEM-Format, so das keine Formatkonvertierungen notwendig sind.
In der Konfiguration sind folgende Punkte besonders zu beachten:
- ssl.engine = "enable"
- ssl.pemfile: Kombination aus
- privaten Schlüsselteil (z.B. „private.pem“)
- erhaltenes SSL-Zertifikat
- erzeugen z.B. via „cat private.pem cert-<Seriennummer>.pem > server.pem“
- ssl.ca-file: die komplette Zertifizierungskette als PEM formatierte Datei
Für die Verwendung Ihres Zertifikats müssen Sie aus Ihrem privaten Schlüsselteil und Ihrem Serverzertifikat eine „pkcs12“-Datei erstellen. Dies kann mit OpenSSL erfolgen:
openssl pkcs12 -export -in cert-<Seriennummer>.pem –inkey private.pem -out Ihre_neue_PKCS12_Datei.p12 -name "My Certificate"
- Verwenden Sie dazu als "cert-<Seriennummer>.pem" das von der PKI ausgestellte Serverzertifikat.
- Die Datei „private.pem“ muss Ihrem privaten Schlüsselteil entsprechen.
- Die dabei neu erstellte Datei „Ihre_neue_PKCS12_Datei.p12“ kann dann in Ihre Server-Software importiert werden.
Die Zertifikatskette (ohne Root-Zertifikat) muss in den CertStore des Servers geladen werden. Auführliche Information erhalten Sie in der online MS Dokumentation.