lighttpd und PositiveSSL-Certs

Ich habe gera­de die lite-Ver­si­on der auf http://www.psw.net feil­ge­bo­te­nen SSL-Certs aus­pro­biert. Es gibt kei­ne direk­te Anlei­tung für die Instal­la­ti­on des Zer­ti­fi­ka­tes inner­halb von lighttpd (ligh­ty) und die in der Bestä­ti­gungs­mail ange­ge­be­nen Links sind mei­ner Erfah­rung nach bes­ten­falls irreführend.

Der Bestell­pro­zess

Zunächst ist ein Ser­ver­key für die Domain www.domain.tld mit Open­S­SL zu erstel­len. Im wah­ren Leben ist natür­lich der Aus­druck „www_domain_tld“ durch eine eige­ne, rea­le Domain zu erset­zen. Das geht auf der Kom­man­do­zei­le z.B. durch Ein­ga­be von:

open­s­sl req ‑new ‑nodes ‑key­out www_domain_tld.key ‑out www_domain_tld.csr

Dabei wer­den eini­ge Infor­ma­tio­nen abge­fragt, die man mit sinn­vol­len Daten füt­tern soll­te. Immens wich­tig ist die Eingabe

Com­mon Name (eg, YOUR name) []: www.domain.tld

Nur dann schützt spä­ter das aus­ge­stell­te Zer­ti­fi­kat die Domains http://domain.tld und http://www.domain.tld (das ist bei der ver­wen­de­ten CA Posi­ti­ve­SSL auto­ma­tisch so).

Für den Bestell­pro­zess wird der Inhalt der Datei www_domain_tld.csr benö­tigt. Für die Instal­la­ti­on des Zer­ti­fi­ka­tes brau­chen wir spä­ter noch die Datei www_domain_tld.key.

Instal­la­ti­on des Zer­ti­fi­ka­tes unter lighttpd

Stim­men die bei dem zustän­di­gen NIC hin­ter­leg­ten Daten mit den Daten auf der mit­zu­sen­den­den Per­so­nal­aus­weis­ko­pie über­ein, erhält man nach 10–12 Minu­ten (so man nicht grey­lis­tetd) eine Mail mit ang­häng­tem Zip-Archiv mit fol­gen­den Dateien:

  1. AddTrustExternalCARoot.crt
  2. PositiveSSLCA.crt
  3. UTNAddTrustServerCA.crt
  4. www_domain_tld.crt

Jetzt legt man unter­halb von /etc/lighttpd (oder einem mög­li­cher­wei­se ande­rem Con­fig-Ver­zeich­nis von lighttpd) einen Ord­ner mit dem Namen ssl an.

Ein

touch www_domain_tld.ca www_domain_tld.pem

inner­halb die­ses Ver­zeich­nis­ses legt zwei lee­re Datei­en an. In die Datei www_domain_tld.ca kopiert man den Inhalt der Dateien

  1. AddTrustExternalCARoot.crt
  2. PositiveSSLCA.crt
  3. UTNAddTrustServerCA.crt

In genau die­ser Rei­hen­fol­gen und spei­chert das Gan­ze dann ab oder macht es direkt mit z.B. cat und Aus­ga­be­um­len­kung in die Datei. Dabei zick­te bei mir aller­dings ligh­tys Par­ser hin­ter­her etwas her­um., der ger­nen einen CR nach jedem Zwi­schen­zer­ti­fi­kat sehen woll­te. Die­se drei Datei­en gibt es auch als Bund­le-Text­da­tei zum Down­load auf der Sei­te von PositiveSSL.

In die Datei www_domain_tld.pem kopiert man den Inhalt der Dateien

  1. www_domain_tld.key
  2. www_domain_tld.crt

in genau die­ser Rei­hen­fol­ge. Der pri­va­te Ser­ver­key muss vor dem aus­ge­stell­ten Zer­ti­fi­kat ste­hen. Dann noch schnell einen Demo SSL-Host inner­halb von lighttpd.conf aufgesetzt:

$SERVER[„socket“] == „0.0.0.0:443“ {

ssl.engine = „enable“
ssl.ca-file = „/etc/lighttpd/ssl/www_domain_tld.ca“
ssl.pemfile = „/etc/lighttpd/ssl/www_domain_tld.pem“

server.document-root = „/var/www/ssl“

}

… danach den Ser­ver neu­ge­star­tet und voilá: Run­ning on SSL und kein Zer­ti­fi­kats­feh­ler­ge­me­cker des Brow­sers (Test­ver­si­on des Zer­ti­fi­kats mit 30tägiger Lauf­zeit ist kostenlos).

Die Instal­la­ti­on unter Apa­che müss­te sehr ähn­lich funk­tio­nie­ren. Auch hier braucht es eine Auf­tei­lung zwi­schen Zwi­schen­zer­ti­fi­kat und Serverzertifikat.

Facebook Like

3 Kommentare

  • Sehr hilf­reich! Ich konn­te es gera­de anwen­den und es funktioniert. 

    Im Fal­le von Ligh­ty und PSW kann man aber bei „Ver­wen­de­te Ser­ver­soft­ware“ direkt „Apache/mod_ssl“ aus­waeh­len, da man dann die *.ca und *.pem Datei direkt zuge­schickt bekommt :). Waehlt man dort „nicht auf­ge­lis­tet“, so bekommt man die, von dir genann­ten, Datei­en. So ist man natuer­lich am fle­xi­bels­ten, aller­dings ist man dann auf Sei­ten wie die­se ange­wie­sen :D…

    Wei­ter so.

    M.f.G.
    Andre­as Schipplock.

  • Der Unter­schied war – glau­be ich – damals noch, dass es dabei eine sepa­ra­te Datei für das Zwi­schen­zer­ti­fi­kat gab. Dafür kennt der India­ner eine Direk­ti­ve, ligh­ty hin­ge­gen nicht – daher der Trick 17. Es mag aber sein, dass das nun schon wie­der anders gewor­den ist, da die Sache mit den Zwi­schen­zer­ti­fi­ka­ten ja nicht so intui­tiv und bequem ist.

  • Pingback: Class 2 Zertifizierung durch startssl - riecken.de - Gedanken zu Bildung, Lehre und Schule

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert