lighttpd und PositiveSSL-Certs

Ich habe gera­de die lite-Ver­si­on der auf http://www.psw.net feil­ge­bo­te­nen SSL-Certs aus­pro­biert. Es gibt kei­ne direk­te Anlei­tung für die Instal­la­ti­on des Zer­ti­fi­ka­tes inner­halb von lighttpd (ligh­ty) und die in der Bestä­ti­gungs­mail ange­ge­be­nen Links sind mei­ner Erfah­rung nach bes­ten­falls irreführend.

Der Bestell­pro­zess

Zunächst ist ein Ser­ver­key für die Domain www.domain.tld mit Open­S­SL zu erstel­len. Im wah­ren Leben ist natür­lich der Aus­druck „www_domain_tld“ durch eine eige­ne, rea­le Domain zu erset­zen. Das geht auf der Kom­man­do­zei­le z.B. durch Ein­ga­be von:

open­s­sl req ‑new ‑nodes ‑key­out www_domain_tld.key ‑out www_domain_tld.csr

Dabei wer­den eini­ge Infor­ma­tio­nen abge­fragt, die man mit sinn­vol­len Daten füt­tern soll­te. Immens wich­tig ist die Eingabe

Com­mon Name (eg, YOUR name) []: www.domain.tld

Nur dann schützt spä­ter das aus­ge­stell­te Zer­ti­fi­kat die Domains http://domain.tld und http://www.domain.tld (das ist bei der ver­wen­de­ten CA Posi­ti­ve­SSL auto­ma­tisch so).

Für den Bestell­pro­zess wird der Inhalt der Datei www_domain_tld.csr benö­tigt. Für die Instal­la­ti­on des Zer­ti­fi­ka­tes brau­chen wir spä­ter noch die Datei www_domain_tld.key.

Instal­la­ti­on des Zer­ti­fi­ka­tes unter lighttpd

Stim­men die bei dem zustän­di­gen NIC hin­ter­leg­ten Daten mit den Daten auf der mit­zu­sen­den­den Per­so­nal­aus­weis­ko­pie über­ein, erhält man nach 10–12 Minu­ten (so man nicht grey­lis­tetd) eine Mail mit ang­häng­tem Zip-Archiv mit fol­gen­den Dateien:

1. AddTrustExternalCARoot.crt
2. PositiveSSLCA.crt
3. UTNAddTrustServerCA.crt
4. www_domain_tld.crt

Jetzt legt man unter­halb von /etc/lighttpd (oder einem mög­li­cher­wei­se ande­rem Con­fig-Ver­zeich­nis von lighttpd) einen Ord­ner mit dem Namen ssl an.

Ein

touch www_domain_tld.ca www_domain_tld.pem

inner­halb die­ses Ver­zeich­nis­ses legt zwei lee­re Datei­en an. In die Datei www_domain_tld.ca kopiert man den Inhalt der Dateien

1. AddTrustExternalCARoot.crt
2. PositiveSSLCA.crt
3. UTNAddTrustServerCA.crt

In genau die­ser Rei­hen­fol­gen und spei­chert das Gan­ze dann ab oder macht es direkt mit z.B. cat und Aus­ga­be­um­len­kung in die Datei. Dabei zick­te bei mir aller­dings ligh­tys Par­ser hin­ter­her etwas her­um., der ger­nen einen CR nach jedem Zwi­schen­zer­ti­fi­kat sehen woll­te. Die­se drei Datei­en gibt es auch als Bund­le-Text­da­tei zum Down­load auf der Sei­te von PositiveSSL.

In die Datei www_domain_tld.pem kopiert man den Inhalt der Dateien

1. www_domain_tld.key
2. www_domain_tld.crt

in genau die­ser Rei­hen­fol­ge. Der pri­va­te Ser­ver­key muss vor dem aus­ge­stell­ten Zer­ti­fi­kat ste­hen. Dann noch schnell einen Demo SSL-Host inner­halb von lighttpd.conf aufgesetzt:

$SERVER[„socket“] == „0.0.0.0:443“ {

ssl.engine = „enable“
ssl.ca-file = „/etc/lighttpd/ssl/www_domain_tld.ca“
ssl.pemfile = „/etc/lighttpd/ssl/www_domain_tld.pem“

server.document-root = „/var/www/ssl“

}

… danach den Ser­ver neu­ge­star­tet und voilá: Run­ning on SSL und kein Zer­ti­fi­kats­feh­ler­ge­me­cker des Brow­sers (Test­ver­si­on des Zer­ti­fi­kats mit 30tägiger Lauf­zeit ist kostenlos).

Die Instal­la­ti­on unter Apa­che müss­te sehr ähn­lich funk­tio­nie­ren. Auch hier braucht es eine Auf­tei­lung zwi­schen Zwi­schen­zer­ti­fi­kat und Serverzertifikat.

This work by Maik Riecken is licen­sed under a Crea­ti­ve Com­mons Attri­bu­ti­on-Non­Com­mer­cial-ShareA­li­ke 4.0 International