CSR-File mittels OpenSSL für Apache SSL-Zertifikate erstellen

Einen Private-Key erstellen

Mit dem folgenden Konsolen-Befehl wird der Private-Key erstellt. Dieser Key verlässt niemals die Umgebung des Eigentümers. Die Frage des Kennworts ist zu beantworten, danach liegt der Key im Verzeichnis, dass für -out angegeben wurde.

openssl genrsa -des3 -out /home/heckersm/Arbeitsfläche/privatekeylms.key 2048

CSR-File mittels Private-Key erzeugen

Das CSR-File wird auf der Basis des zuvor erzeugten Private Keys wie folgt erstellt. Wenn für den PK ein Passwort vergeben wurde, muss dieses zum Entsperren des Private Keys auf Nachfrage angegeben werden.

openssl req -new -key /home/heckersm/Arbeitsfläche/privatekeylms.key -out /home/heckersm/Arbeitsfläche/requestlms.csr

Hier ein Vorschlag zur Beantwortung der CSR-Fragen, bitte die eigenen Angaben machen. Die Email-Adresse muss existieren.

----- Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Nordrhein-Westfalen
Locality Name (eg, city) []:Leverkusen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hugo-Balder-Gymnasium
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:www.hugo-balder-schule.de
Email Address []:webmaster@hugo-balder-schule.de


Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Password aus Private-Key entfernen

Nicht zuletzt unter Plesk, ist es nicht möglich einen Private-Key mit Kennwort hochzuladen. Das Kennwort kann wie folgt entfernt werden

#Zur Sicherheit ein Backup des Keys machen
cp pk.key pk.key-backup
#Einen neuen Key ohne Kennwort erzeugen, wobei das Kennwort des alten natürlich einmal eingeben werden muss
openssl rsa -in pk.key -out pkOhneKennwort.key

SSL-Zertifkat für Domain bzw. Webseite hinterlegen

Das SSL-Zertifkat kann inkl. Private-Key-File und Intermdiate-Zertifikate (wird über den Aussteller bereit gestellt) bequem über das Control-Panel der entsprechenden Domain innerhalb von Plesk hochgeladen werden. Am Ende ist es ratsam, den Apache einmal zu restarten, damit sicher gestellt ist, dass Plesk die Daten auch korrekt abgelegt hat,  da der Dienst sonst beim nächsten Mal nicht starten kann.

To top

Permanente bzw. Default-Umleitung nach SSL

Die .htaccess-Datei der Präsenz editieren und unterhalb von RewriteEngine On folgende Zeilen hinzufügen. Für TYPO3 gilt Caches löschen, vor allem auch Datenbank-Caches und im Extremfall Webserver neustarten

RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

NON-SSL Ressourcen

Oftmals werden Resourcen wie z.B. favicon mit einem absoluten Pfad im Typo3-Template angesprochen. SSL meckert dann, da ein solcher Pfad eben eine non-ssl-Ressource einbindet. Wie dies geändert wird steht im TYPO3-Wiki. Daher sollte sichergestellt werden, dann alle Resorucen relative Pfade verwenden, damit Sie mittels https:// aufgerufen werden. 

To top

Apache2.4 mit verschüsseltem Home Verzeichnis

Ubuntu legt verschlüsselte Home Verzeichnisse mit 700 (ansonsten 755) an.

 

chmod o+x $HOME


Für "Other" müssen die Ausführrechte hinzugefügt werden, dann kann der Apache symbolische Links in das Home Verzeichnis folgen