Kapitel 11 Beantragen eines Zertifikats für Ihren sicheren Server
In diesem Kapitel wird erläutert, wie Sie ein Zertifikat beantragen und installieren, das Ihren Server vor unberechtigten Zugriffen schützt und seine Echtheit bestätigt.
Damit die Daten Ihrer Kunden beim Geschäftsverkehr über das Web sicher und geschützt sind, müssen Sie Ihren Web-Server vor unberechtigten Zugriffen schützen. Sichere Server verwenden das Protokoll Secure Sockets Layer (SSL), das die zwischen Browser und Server übertragenen Daten verschlüsselt. Wenn Ihr Browser mit SSL Daten überträgt, wird in der Navigationsleiste vor der URL (URL = Uniform Resource Locator) das Präfix https: angezeigt.
Ihre Kunden können beruhigt im Web einkaufen, wenn sie wissen, dass ihre Transaktionen nicht in die falschen Hände geraten. Sichere Server werden jedoch nicht nur für den elektronischen Handel verwendet, sondern übermitteln auch sicherheitsrelevante Daten wie Verkaufszahlen über das Internet an Verkäufer oder Geschäftspartner.
Sichere Server weisen sich mit einem Zertifikat bei den Web-Browsern aus. Sie können entweder ein eigenes Zertifikat generieren (mit eigener Signatur) oder eines von einer anerkannten Zertifizierungsstelle (ZS) erwerben. Sie haben dann die Garantie, dass die betreffende Website tatsächlich mit dem angegebenen Unternehmen oder der Organisation verbunden ist.
Wenn Sie Ihren Server für den elektronischen Handel (E-Commerce) einsetzen, sollten Sie ein Zertifikat von einer ZS erwerben. Dies hat die folgenden Vorteile: die Browser erkennen ein solches Zertifikat in der Regel automatisch an und die ZS garantiert, dass die für die Website verantwortliche Organisation tatsächlich die ausgewiesene ist. Selbstgenerierte Zertifikate mit eigener Signatur werden nicht automatisch von den Browsern akzeptiert. Statt dessen wird der betreffende Benutzer gefragt, ob das Zertifikat akzeptiert und die Verbindung hergestellt werden soll.
Wenn Sie das Zertifikat einer Zertifizierungsstelle verwenden, ist die Identität der Organisation, die den Server betreibt, garantiert. Beispiel: das Zertifikat weist Red Hat als Eigentümer der Website aus, und die ZS ist vertrauenswürdig. Sie können dann sicher sein, dass alle Dateien und Programme, die Sie von dieser Site herunterladen, tatsächlich von Red Hat stammen.
Als ersten Schritt erstellen Sie einen öffentlichen und einen privaten Schlüssel. Anschließend senden Sie entweder einen Zertifikatsantrag an die Zertifizierungsstelle oder Sie erstellen ein Zertifikat mit eigener Signatur. In diesem Kapitel wird erläutert, wie Sie signierte Zertifikate bei VeriSign (http://www.verisign.com, Informationen zu Preisnachlässen für Red Hat Kunden unter http://www.verisign.com/offer/redhat/) und Thawte (http://www.thawte.com) beantragen und wie Sie ein eigenes Zertifikat erstellen.
 | Bitte beachten |
|---|---|
Sie können signierte Zertifikate bei beliebigen Zertifizierungsstellen Ihrer Wahl beantragen und sind nicht auf die in diesem Handbuch angegebenen festgelegt. VeriSign bietet jedoch Kunden von Red Hat einen Preisnachlass an. Weitere Informationen zum Preisnachlass von VeriSign finden Sie unter http://www.verisign.com/offer/redhat. |
In diesem Kapitel wird darüber hinaus erläutert, wie Sie ein eigenes Zertifikat oder ein Zertifikat einer ZS auf Ihrem Red Hat Linux Secure Web Server installieren.
Verwenden vorhandener Schlüssel und Zertifikate
Wenn Sie bereits über einen Schlüssel und ein Zertifikat verfügen (z.B., wenn Sie Red Hat Linux Secure Web Server installieren, um den sicheren Web-Server eines anderen Herstellers zu ersetzen), ist es mit großer Wahrscheinlichkeit möglich, den vorhandenen Schlüssel und das Zertifikat auch mit Red Hat Linux Secure Web Server zu verwenden. In den folgenden Situationen können Sie bereits vorhandene Schlüssel und Zertifikate jedoch nicht wieder verwenden:
Sie ändern die IP-Adresse oder den Domänennamen.
Sie besitzen ein Zertifikat von VeriSign und verwenden eine neue Server-Software.
Alte Schlüssel und Zertifikate können nicht wiederverwendet werden, wenn Sie die IP-Adresse oder den Domänennamen ändern. Zertifikate werden für eine bestimmte Kombination aus IP-Adresse und Domänenname vergeben. Wenn Sie entweder IP-Adresse oder Domänennamen ändern, müssen Sie ein neues Zertifikat beantragen.
VeriSign ist eine renommierte Zertifizierungsstelle. Wenn Sie bereits ein Zertifikat von VeriSign für einen anderen Zweck besitzen, würde es sich anbieten, dieses mit dem neuen Red Hat Linux Secure Web Server zu verwenden. Die Zertifikate von VeriSign sind jedoch nicht übertragbar, da sie nur für eine bestimmte Server-Software und eine bestimmte Kombination aus IP-Adresse und Domänenname ausgestellt werden.
Sobald Sie einen dieser Parameter ändern (Sie ersetzen beispielsweise Ihr bisheriges sicheres Web-Server-Produkt durch Red Hat Linux Secure Web Server), können Sie das vorhandene VeriSign-Zertifikat nicht mehr verwenden, sondern müssen ein neues beantragen.
Wenn Sie über einen gültigen Schlüssel und ein gültiges Zertifikat verfügen, müssen Sie die Anleitungen in Kapitel 11 nicht befolgen. Statt dessen müssen Sie die Dateien, die Schlüssel und Zertifikat enthalten, verschieben oder umbenennen.
Verschieben Sie die vorhandene Schlüsseldatei in das Verzeichnis:
/etc/httpd/conf/ssl.key/server.key |
Verschieben Sie die vorhandene Zertifikatsdatei in das Verzeichnis:
/etc/httpd/conf/ssl.crt/server.crt |
Fahren Sie dann bei Abschnitt namens Testen Ihres Zertifikats fort.
Wenn Sie von den Versionen 1.0 und 2.0 des Red Hat Secure Web Server upgraden, werden Schlüssel (httpsd.key) und Zertifikat (httpsd.crt) im Verzeichnis /etc/httpd/conf/ abgelegt. Sie müssen Schlüssel und Zertifikat verschieben und umbenennen, damit der Red Hat Linux Secure Web Server sie verwenden kann. Mit den folgenden Befehlen können Sie Schlüssel- und Zertifikatsdateien verschieben und umbenennen:
mv /etc/httpd/conf/httpsd.key /etc/httpd/conf/ssl.key/server.key mv /etc/httpd/conf/httpsd.crt /etc/httpd/conf/ssl.crt/server.crt |
Starten Sie den Red Hat Linux Secure Web Server dann, wie in Abschnitt namens Starten und Beenden von Apache beschrieben. Sie müssen kein neues Zertifikat erwerben, wenn Sie von einer vorherigen Version des Red Hat Linux Secure Web Server upgraden.