imported>mutante mNo edit summary |
imported>mutante mNo edit summary |
||
Line 3: | Line 3: | ||
[[Image:S23-https-cacert-rootCA.png|thumb|right|s23.org via https with CAcert Root CA]] |
[[Image:S23-https-cacert-rootCA.png|thumb|right|s23.org via https with CAcert Root CA]] |
||
[[Image:S23-https-cacert-rootCA-2.png|thumb|right|s23.org via https with CAcert Root CA]] |
[[Image:S23-https-cacert-rootCA-2.png|thumb|right|s23.org via https with CAcert Root CA]] |
||
=== Clients === |
|||
==== CAcert als Zertifizierungsstelle in Browser importieren ==== |
|||
Das Zertifikat das S23.org verwendet ist nicht "self-signed" sondern von [[CAcert]]/Root CA gesigned. Das einzige Problem besteht darin das CACert nicht in den Browsern per Default als Zertifizierungsstelle eingetragen ist, dies kann man hier nachholen: [http://www.cacert.org/index.php?id=3 CAcert root certificate] (Class 1 PEM Format anklicken bei Firefox). |
Das Zertifikat das S23.org verwendet ist nicht "self-signed" sondern von [[CAcert]]/Root CA gesigned. Das einzige Problem besteht darin das CACert nicht in den Browsern per Default als Zertifizierungsstelle eingetragen ist, dies kann man hier nachholen: [http://www.cacert.org/index.php?id=3 CAcert root certificate] (Class 1 PEM Format anklicken bei Firefox). |
||
Nachdem nun CAcert einmal im Browser als Zertifizierungsstelle ist sollte auch https://s23.org und andere Seiten mit solchen Zertifikaten ohne die üblicherweise auftauchenden PopUp-Warnungen wie bei "self-signed"-Zertifikaten funktionieren und als "authentifiziert durch Root CA" angezeigt werden (MouseOver auf dem Schloss Symbol). |
Nachdem nun CAcert einmal im Browser als Zertifizierungsstelle ist sollte auch https://s23.org und andere Seiten mit solchen Zertifikaten ohne die üblicherweise auftauchenden PopUp-Warnungen wie bei "self-signed"-Zertifikaten funktionieren und als "authentifiziert durch Root CA" angezeigt werden (MouseOver auf dem Schloss Symbol). |
||
=== Server === |
|||
* [http://www.debian-administration.org/articles/349 Setting up an SSL server with Apache2] |
|||
==== Changes on Debian "etch" ==== |
|||
The above tutorial will not work right away on Debian "etch". There are a few scripts, including "apache2-ssl-certificate" missing and some directories need to be created. Follow the steps on |
|||
[http://www.debian-administration.org/articles/349#comment_63] before. |
|||
==== Short short version ==== |
|||
<tt>apache2-ssl-certificate</tt> create certificate |
|||
<tt>a2enmod ssl</tt> enable module |
|||
<tt>/etc/init.d/apache2 force-reload</tt> reload |
|||
Add <tt>Listen 443</tt> to <tt>/etc/apache2/ports.conf</tt> |
|||
Edit /etc/apache2/sites-enabled/default-000 and add a <tt>NameVirtualHost *:443</tt> with <tt>SSLEngine on</tt> and <tt>SSLCertificateFile /etc/apache2/ssl/apache.pem</tt> in it |
|||
<tt>apache2ctl graceful</tt> restart graceful |
|||
==== Mit CACert Zertifikat ==== |
|||
Account bei CACert vorrausgesetzt mit verifizierter Domain und ein paar Punkten sei vorrausgesetzt, so dass dort Serverzertifikate erstellt werden können. Dann mittels der Anleitung [http://www.micressor.ch/index.php/Apache-SSL-Zertifikat_erstellen hier] ein CSR (certificate request) erezeugen, dieses dort pasten und im Gegenzug das Zertifikat erhalten. <tt>SSLCertificateFile</tt> und <tt>SSLCertificateKeyFile</tt> Pfade in der Apache config entsprechend anpassen. |
|||
* [http://www.micressor.ch/index.php/Apache-SSL-Zertifikat_erstellen micressor.ch - Apache SSL Zertifikat erstellen] |
|||
Revision as of 23:39, 9 November 2007
Clients
CAcert als Zertifizierungsstelle in Browser importieren
Das Zertifikat das S23.org verwendet ist nicht "self-signed" sondern von CAcert/Root CA gesigned. Das einzige Problem besteht darin das CACert nicht in den Browsern per Default als Zertifizierungsstelle eingetragen ist, dies kann man hier nachholen: CAcert root certificate (Class 1 PEM Format anklicken bei Firefox).
Nachdem nun CAcert einmal im Browser als Zertifizierungsstelle ist sollte auch https://s23.org und andere Seiten mit solchen Zertifikaten ohne die üblicherweise auftauchenden PopUp-Warnungen wie bei "self-signed"-Zertifikaten funktionieren und als "authentifiziert durch Root CA" angezeigt werden (MouseOver auf dem Schloss Symbol).
Server
Changes on Debian "etch"
The above tutorial will not work right away on Debian "etch". There are a few scripts, including "apache2-ssl-certificate" missing and some directories need to be created. Follow the steps on [1] before.
Short short version
apache2-ssl-certificate create certificate a2enmod ssl enable module /etc/init.d/apache2 force-reload reload Add Listen 443 to /etc/apache2/ports.conf Edit /etc/apache2/sites-enabled/default-000 and add a NameVirtualHost *:443 with SSLEngine on and SSLCertificateFile /etc/apache2/ssl/apache.pem in it apache2ctl graceful restart graceful
Mit CACert Zertifikat
Account bei CACert vorrausgesetzt mit verifizierter Domain und ein paar Punkten sei vorrausgesetzt, so dass dort Serverzertifikate erstellt werden können. Dann mittels der Anleitung hier ein CSR (certificate request) erezeugen, dieses dort pasten und im Gegenzug das Zertifikat erhalten. SSLCertificateFile und SSLCertificateKeyFile Pfade in der Apache config entsprechend anpassen.