Red Hat Linux 9: Red Hat Linux Handbuch benutzerdefinierter Konfiguration | ||
---|---|---|
Zurück | Kapitel 20. Konfiguration von Apache HTTP Secure Server | Vor |
Sie müssen als unter einem root-Account angemeldet sein, um einen Schlüssel erstellen zu können.
Geben Sie als erstes den Befehl cd ein, um in das /etc/httpd/conf-Verzeichnis zu wechseln. Entfernen Sie mit den folgenden Befehlen den "Schein"-Schlüssel und das Zertifikat, die während der Installation erstellt wurden:
rm ssl.key/server.key rm ssl.crt/server.crt |
Als nächstes müssen Sie Ihren eigenen zufälligen Schlüssel erstellen. Wechseln Sie ins Verzeichnis /usr/share/ssl/certs und geben Sie folgenden Befehl ein:
make genkey |
Ihr System zeigt folgende (oder eine ähnliche) Meldung an:
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Geben Sie jetzt Ihr Passwort ein. Um größtmögliche Sicherheit zu gewähren, sollte Ihr Passwort aus mindestens acht Zeichen bestehen, Zahlen und/oder Punkte enthalten und ein Wort sein, das man in keinem Wörterbuch findet. Bedenken Sie außerdem, dass Ihr Passwort Groß- und Kleinschreibung beachtet.
![]() | Anmerkung |
---|---|
Sie müssen Ihr Passwort bei jedem Start Ihres Secure Server eingeben, prägen Sie es sich also gut ein. |
Sie werden aufgefordert, Ihr Passwort ein zweites Mal einzugeben, um zu überprüfen, dass es korrekt ist. Nach der korrekten Eingabe wird die Datei /etc/httpd/conf/ssl.key/server.key erstellt, die Ihren Schlüssel enthält.
Wenn Sie nicht bei jedem Start Ihres Secure Server Ihr Passwort eingeben möchten, müssen Sie die beiden folgenden Befehle statt make genkey verwenden, um einen Schlüssel zu erstellen.
Verwenden Sie folgenden Befehl zum Erstellen des Schlüssels:
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
Verwenden Sie dann folgenden Befehl zum Sicherstellen, dass die Berechtigungen für den Schlüssel korrekt festgelegt sind:
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
Nach Verwendung der o.g. Befehle zur Erstellung Ihres Schlüssels brauchen Sie nicht mehr Ihr Passwort einzugeben, um den Secure Server zu starten.
![]() | Achtung |
---|---|
Die Deaktivierung der Passwort-Funktion für Ihren Secure Server is a stellt ein Sicherheitsrisiko dar. Aus diesem Grund empfehlen wir Ihnen, die Passwort-Funktion für Ihren Secure Server NICHT zu deaktivieren. |
Die Probleme, die auftreten, wenn kein Passwort benutzt wird, haben direkten Einfluss auf die Sicherheit des Rechners. Wenn z.B. jemand die reguläre UNIX-Sicherheit eines Rechners überwindet, kann diese Person Ihren privaten Schlüssel (die Inhalte Ihrer server.key Datei) abrufen. Der Schlüssel kann dann benutzt werden, um Webseiten zu erstellen, die scheinbar von Ihrem Secure Server stammen.
Wenn die UNIX-Sicherheitsregeln auf dem Rechner strikt eingehalten werden (d.h. alle Betriebssystem-Patches und -Aktualisierungen werden bei Verfügbarkeit sofort installiert, es werden keine unnötigen oder riskanten Dienste in Anspruch genommen o.ä.), mag Ihnen die Verwendung Ihres Passworts für den Secure Server überflüssig und unnötig erscheinen. Da Ihr Secure Server aber ohnehin nicht allzuoft neu gebootet werden sollte, lohnt es sich dennoch in den meisten Fällen, Ihr Passwort zu verwenden, das Ihnen extrem hohe Sicherheit gewährleistet.
Die server.key-Datei sollte Eigentum des root-Accounts Ihres Systems und für andere Benutzer nicht zugänglich sein. Erstellen Sie eine Sicherungskopie dieser Datei und bewahren Sie die Sicherungskopie an einem sicheren und geheimen Ort auf. Die Sicherungskopie ist wichtig für den Fall, dass die server.key-Datei nach der Erstellung des Zertifikatsantrags verloren gehen sollte. In diesem Fall wird Ihr Zertifikat ungültig, und die ZS wird Ihnen in diesem Fall nicht weiterhelfen können. Die einzige Lösung wäre dann ein neuer Antrag eines Zertifikats (und dessen Bezahlung).
Wenn Sie ein Zertifikat von einer ZS erwerben, fahren Sie unter Abschnitt 20.7 fort. Wenn Sie Ihr eigensigniertes Zertifikat erstellen möchten, fahren Sie unter Abschnitt 20.8 fort.
Zurück | Zum Anfang | Vor |
Zertifikatstypen | Zum Kapitelanfang | Erstellen eines Zertifikatsantrags für eine ZS |