Archiv der Kategorie: Administration

Austausch eines Apache Zertifikats von StartCom (StartSSL)

Hallo Welt,

ich schreibe diesen Beitrag um den Austausch von Zertifikaten im Apache Webserver zu vereinfachen (natürlich auch als Gedächtnisstütze).

Kurze Version (für längere Version weiter scrollen):

  • Neues Zertifikat erstellen (ggf. mit CSR)
  • Zertifikat und Key auf dem Server hinterlegen (/etc/ssl/…)
  • Neue Zertifikats/Key/Chain/CA Pfade anpassen
  • Apache neu starten
  • Einstellungen testen (sowohl mit Firefox als auch mit Chrome)
    • Ich hatte zuerst nur mit Chrome getestet und alles sah gut aus, aber nachdem ich mit dem Firefox meine Seite ohne Cache neu geladen hatte kam eine OCSP Server Fehlermeldung. Mehr dazu weiter unten.

 

Lange Version

  • Zu https://www.startssl.com/ navigieren
  • ins PKI einloggen
  • Validation Wizard durchlaufen und Verification Code eingeben
    • Wenn Ihr einen Fehler bekommt, dass die E-Mail nicht versandt werden konnte, dann schaut mal in euren DNS Eintrag. StartCom erwartet, dass dort ein MX Record drin ist. Wenn der nicht vorhanden ist (z.B. weil Ihr einen CNAME benutzt), dann gibts Probleme.
  • CSR erstellen
    • Befehl: openssl req -new -newkey rsa:4096 -nodes -sha256 -keyout /etc/ssl/x2d2/x2d2.new.key -out /etc/ssl/x2d2/x2d2.new.csr
    • Erstellt einen Key und einen CSR; der Key bekommt eine 4096 Bit Länge (aktuell als Sicher angesehen – Stand 2015-03-06 und wird mit SHA256 signiert).
  • Certificate Wizard
    • Im Certificate Wizard “Web Server SSL/TLS Certificate” auswählen
    • auf “Skip” klicken um den CSR eingeben zu können
    • CSR ins Webformular posten
    • gewünschte subdomain angeben
  • Apache
    • Zertifikat und Key, sowie Intermediate Certifikat im Apache hinterlegen
      • SSLCertificateFile
      • SSLCertificateKeyFile
      • SSLCertificateChainFile
      • SSLCACertificateFile
    • Apache neu starten
  • mit Firefox und Chrome prüfen, ob das Zertifikat anstandslos erkannt und verarbeitet wird.
    • Firefox scheint aktuell strikter mit der Rückgabe des OCSP Servers umzugehen als Chrome, da bei mir der Aufruf nicht klappte im Firefox.
    • ACHTUNG: OCSP Server können eine Weile brauchen für das Update des Zertifikats (https://forum.startcom.org/viewtopic.php?f=15&t=2654)