Linux und Zertifikat von Startcom

ghostadmin

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
25.179
Renomée
184
Standort
Dahoam Studios
Ich habe jetzt noch nicht wahnsinnig viel mit Zertifikate gemacht, 1x bei Windows Server und welche in Linux selbst generiert aber ich komme mit den kostenlosen Class1 von Startcom überhaupt nicht klar d.h. die funktionieren einfach nicht. Es gibt im Netz zig verschiedene Anleitungen und die von Startcom ist ebenso veraltet.
Wer hat damit Erfahrung? Wie muss die Config von Apache aussehen? Habe auch gelesen das man im VirtualHost unbedingt noch die IP mit angeben muss für SSL.
Bin mir auch nicht sicher ob das überhaupt die richtigen Zertifikate sind für CA und Intermediate. Ist da irgendwo ein grundsätzlicher Fehler bevor man in Logs schaut? Habe nämlich aktuell wieder die selbst erstellten drin.
Und was ich nicht verstehe, wenn man auf deren Seite auf Login geht, dann kann man sich nur einen Verfication Code schicken lassen und diesen eingeben, dann bekommt man ein .p12 file. Aber ein "Login" in den Benutzeraccount sehe ich nirgends.

Hier zum Beispiel:
Code:
<VirtualHost 192.168.5.13:443>
ServerName ghostadmin.no-ip.org
SSLEngine on
SSLCertificateFile /etc/ssl/certs/ghostadmin.pem
SSLCertificateKeyFile /etc/ssl/private/ghostadmin.key
SSLCACertificateFile /etc/ssl/certs/ca.pem

SSLCertificateChainFile ist ja deprecated und man soll das Intermediate Zertifikat am Ende vom eigenen Key in SSLCertificateFile einfügen.

Startcom gibt mir ein PKCS12 File welches ich damit umwandle:
openssl pkcs12 -in keyStore.p12 -out keyStore.pem -nodes
Private und Public key, sowie Intermediate sind da drin und kann man in extra Files ablegen.

--- Update ---

Also ich hatte die komplett falschen Zertifikate am Server, dass was ich von denen als erstes erhielt war nur ein Client Zertifikat was man im IE reintun muss um sich dort anmelden zu können....
 
Zuletzt bearbeitet:
Nach dem man das Authentifizierungszertifikat bekommen hat, muss man sich damit auf startcom anmelden und danach eine domain validation durchführen.
Anschließend kann man ein Serverzertifikat anfordern.
Dann abholen und einspielen.

Klappte bei uns auf P3D auch immer so.
 
Ja wenn mans weiß dann schon, habe ich nämlich nirgends gesehen das man das in den Webbrowser laden muss. Ich dachte die Validierung sei rein email und User basiert.
Habs irgendwann hinbekommen nach ewig rumprobieren. Hatte mich schon gewundert warum man erst ein p12 in pem umwandeln muss...
Ist mir dann irgendwann aufgefallen weil als CN die email drin stand, kann ja nicht richtig sein.

Auch seltsam war, nachdem ich die passphrase auf dem key entfernte meckerte Apache das die keys nicht mehr identisch seien. Oder ist das normal? Ich meine, bei dem cmd den die angeben: openssl req -newkey rsa:2048 -keyout yourname.key -out yourname.csr
*muss* man ja eine passphrase mit angeben sonst wird nichts erstellt. Habs dann komplett ohne gemacht d.h.
openssl genrsa -out privkey.pem 2048
openssl req -new -key privkey.pem -out cert.csr

Ausserdem fehlt bei dem ApacheServer.zip das Zertifikat für Intermediate, dass hab ich dann von "OtherServer.zip" genommen.

Macht es eigentlich Sinn das Zertifikat für länger als 1 Jahr auszustellen?
 
Nein, man muss keine passphrase mitgeben, 2x enter reicht und wäre in diesem Fall auch richtig gewesen.
Für wirklich wichtige Sachen würde ich heutzutage schon 4096 Schlüssellänge wählen.

Class 1 Gratiszertifikate bekommst Du eh nicht länger als 1 Jahr, wirst aber rechtzeitig vor Ablauf per mail erinnert, damit Du genug Zeit zum Verlängern hast.
 
Was hast Du für komisches Linux?
Oder machst Du den priv-key über startcom selbst?
 
Das muss extradämlich gepatcht sein ich hab OpenSSL 1.0.2h 3 May 2016 und das geht alles ohne passphrase bei mir.
Bzw. <enter> <enter> reicht ihm.
 
Kommt es nicht auf die Einstellungen in der /etc/ssl/openssl.cnf an?

MfG Dalai
 
Steht bei mir auch. Trotzdem ist es nicht zwingend erforderlich.
 
Nein es gibt keinen daemon.
 
gib das mal so ein:
openssl req -newkey rsa:2048 -keyout yourname.key -out yourname.csr
da muss ich passthrase angeben, so nicht:
openssl req -nodes -newkey rsa:2048 -keyout yourname.key -out yourname.csr
 
Zurück
Oben Unten