Erstellen eines Schlüssels
Geben Sie als Erstes den Befehl cd ein, um in das Verzeichnis /etc/httpd/conf zu gelangen. Entfernen Sie den falschen Schlüssel und das Zertifikat, die während der Installation erstellt wurden, mit den folgenden Befehlen:
rm ssl.key/server.key rm ssl.crt/server.crt |
Danach müssen Sie Ihren eigenen Zufallsschlüssel erstellen. Geben Sie dazu folgenden Befehl ein:
make genkey |
Ihr System wird folgende (oder eine ähnliche) Mitteilung anzeigen:
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Sie müssen jetzt ein Passwort eingeben. Zur Sicherheit sollte Ihr Passwort mindestens acht Zeichen enthalten, einschließlich Ziffern und Satzzeichen. Es sollte kein Wort aus einem Wörterbuch sein. Sie sollten Ihr Passwort gut auswählen.
 | Bitte beachten |
|---|---|
Sie müssen bei jedem Start von secure Web server Ihr Passwort eingeben. Sie sollten es also nicht vergessen. |
Sie werden aufgefordert, Ihr Passwort zur Bestätignung ein zweites Mal einzugeben. Dadurch wird sichergestellt, dass es korrekt ist. Nach der korrekten Eingabe wird die Datei server.key erstellt, die Ihren Schlüssel enthält.
Wenn Sie nicht bei jedem Start von secure Web server Ihr Passwort eingeben möchten, können Sie die folgenden zwei Befehle statt make genkey für die Erstellung eines Schlüssels eingeben. Beide Befehle sollten auf einer Zeile eingegeben werden:
Verwenden Sie die folgenden Befehle:
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
Für die Erstellung des Schlüssels verwenden Sie dann den folgenden Befehl:
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
um sicherzustellen, dass die Berechtigungen für Ihren Schlüssel korrekt gesetzt sind.
Nachdem Sie für die Erstellung Ihres Schlüssels die oben aufgeführten Befehle verwendet haben, brauchen Sie für den Start von secure Web server kein Passwort einzugeben.
 | Achtung |
|---|---|
Die Deaktivierung der Passwort-Funktion für Ihren Secure Server ist ein Sicherheitsrisiko. Aus diesem Grund empfehlen wird Ihnen, die Passwort-Funktion für Ihren secure Web server NICHT außer Kraft zu setzen. |
Die Probleme, die auftreten, wenn das Passwort nicht benutzt wird, haben direkten Einfluss auf die Sicherheit des Rechners. Wenn zum Beispiel jemand die reguläre UNIX-Sicherheit eines Rechners überwindet, kann diese Person Ihren privaten Schlüssel (die Inhalte Ihrer server.key Datei) abrufen. Der Schlüssel kann benutzt werden, um falsche Web-Seiten zu erstellen, die scheinbar von Ihrem Web-Server stammen.
Wenn die UNIX-Sicherheitsregeln strikt eingehalten und gewartet werden (d.h. alle Betriebssystem-Patches und -aktualisierungen werden bei Verfügbarkeit installiert, es werden keine unnötigen oder risikoreichen Dienste in Anspruch genommen usw.) erscheint das secure Web server-Passwort unnötig. Da der secure Web server jedoch nicht oft neu gebootet werden muss, lohnt es sich in den meisten Fällen, die Sicherheit durch ein Passwort noch zu erhöhen.
Die Datei server.key sollte Eigentum des Root-Benutzers Ihres Systems und für andere Benutzer nicht zugänglich sein. Erstellen Sie eine Sicherungskopie dieser Datei, und bewahren Sie die Kopie an einem sicheren Ort auf. Die Sicherungskopie ist wichtig für den Fall, dass die Datei server.key nach der Erstellung des Zertifikatsantrags verloren gehen sollte. In diesem Fall ist das Zertifikat ungültig, und die ZS wird Ihnen nicht helfen können. Die einzige Möglichkeit wäre dann das Beantragen (und Bezahlen) eines neuen Zertifikats.
Wenn Sie ein Zertifikat von einer ZS erwerben, fahren Sie bei Abschnitt namens Erzeugen von Zertifikatsanträgen für die ZS fort. Möchten Sie Ihr eigensigniertes Zertifikat erstellen, fahren Sie unter Abschnitt namens Erstellen eines eigensignierten Zertifikats fort.