Apache 2.x WebServer: Unterschied zwischen den Versionen

Aus SSLplus
Zur Navigation springen Zur Suche springen
Zeile 32: Zeile 32:


Um SSL anzuschalten legen Sie eine Kopie des VHosts an, der auf Port 80 horcht.
Um SSL anzuschalten legen Sie eine Kopie des VHosts an, der auf Port 80 horcht.
== Alternative 1.2 (bis Apache 2.2) ==


<code>
<code>
Zeile 42: Zeile 40:
</VirtualHost>
</VirtualHost>
</code>
</code>


Fügen Sie hier folgende Parameter hinzu:
Fügen Sie hier folgende Parameter hinzu:
== Alternative 1 (bis Apache 2.4.7) ==
<code>
SSLEngine on
SSLCertificateFile /etc/ssl/certs/meinzertifikat.crt
SSLCertificateKeyFile /etc/ssl/certs/meinschluessel.key
SSLCACertificateFile /etc/ssl/certs/certificate-chain.crt
</code>
== Alternative 2  ==
Da seit spätestens der Version 2.4.8 die Option <code>SSLCACertificateFile</code> nicht mehr unterstützt wird, muss man die Konfiguration der [[Intermediate Zertifikate]] mit anderen Parametern vornehmen.
Dabei bietet sich die Option an. Die Vorarbeit ist etwas umfangreicher, dafür können eventuelle spätere Zertifikatsinstallationen davon profitieren.


<code>
<code>
Zeile 55: Zeile 72:
</code>
</code>


== Alternative 2.2 (seit apache 2.2)==
== Alternative 3 (seit apache 2.4)==
 
In der Datei, die für <code>SSLCertificateFile</code> angegeben wird, kann seit Apache 2.4 auch die Kette der Intermediate Zertifikate hinterlegt werden. Dabei muss eine Sortierung von der Spitze bis zur Wurzel eingehalten werden. (vgl. [http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslcertificatefile]
 
Dieses Vorgehen kann alternativ oder parallel zur Direktive <code>SSLCACertificatePath</code> gewählt werden.


<code>
<code>
Zeile 63: Zeile 84:


SSLCertificateKeyFile /etc/ssl/certs/meinschluessel.key
SSLCertificateKeyFile /etc/ssl/certs/meinschluessel.key


</code>
</code>

Version vom 21. Juli 2015, 09:42 Uhr

Installation eines SSL Zertifikates für den Apache Webserver 2.x

Vorbereitungen

Für die Installation des Zertifikates benötigen Sie:

Wenn die Zwischenzertifikate von der CA nicht mit dem eigentlichen Zertifikat ausgeliefert wurden, bietet die jeweilige Zertifizierungsstelle eine Möglichkeit diese zu beziehen.

Bezugsquellen für Intermediate Zertifikate

Ablage von Zertifikaten und Schlüssel

Für die Ablage bietet sich die Verzeichnisstruktur unter /etc/ssl an.

/etc/ssl/private

/etc/ssl/certs

Im Verzeichnis private werden die privaten Schlüssel abgelegt. Im Verzeichnis certs werden die Zertifikate gespeichert.

Anpassung der Konfiguration

Die Önderungen an der Konfiguration werden in der Regel an der VHost Konfiguration vorgenommen. Diese findet sich unter /etc/apache2/sites-available/ oder verlinkt auch hier /etc/apache2/sites-enabled/.

Um SSL anzuschalten legen Sie eine Kopie des VHosts an, der auf Port 80 horcht.

<VirtualHost 10.0.0.1:443>

...

</VirtualHost>


Fügen Sie hier folgende Parameter hinzu:

Alternative 1 (bis Apache 2.4.7)

SSLEngine on

SSLCertificateFile /etc/ssl/certs/meinzertifikat.crt

SSLCertificateKeyFile /etc/ssl/certs/meinschluessel.key

SSLCACertificateFile /etc/ssl/certs/certificate-chain.crt

Alternative 2

Da seit spätestens der Version 2.4.8 die Option SSLCACertificateFile nicht mehr unterstützt wird, muss man die Konfiguration der Intermediate Zertifikate mit anderen Parametern vornehmen.

Dabei bietet sich die Option an. Die Vorarbeit ist etwas umfangreicher, dafür können eventuelle spätere Zertifikatsinstallationen davon profitieren.

SSLEngine on

SSLCertificateFile /etc/ssl/certs/meinzertifikat.crt

SSLCertificateKeyFile /etc/ssl/certs/meinschluessel.key

SSLCACertificatePath /etc/ssl/certs/

Alternative 3 (seit apache 2.4)

In der Datei, die für SSLCertificateFile angegeben wird, kann seit Apache 2.4 auch die Kette der Intermediate Zertifikate hinterlegt werden. Dabei muss eine Sortierung von der Spitze bis zur Wurzel eingehalten werden. (vgl. [1]

Dieses Vorgehen kann alternativ oder parallel zur Direktive SSLCACertificatePath gewählt werden.

SSLEngine on

SSLCertificateFile /etc/ssl/certs/meinzertifikat-mit-kette.crt

SSLCertificateKeyFile /etc/ssl/certs/meinschluessel.key

Abschluss

Speichern Sie die Konfiguration und starten Sie den Webserver neu. Das kann auf Debian Linux basierten Systemen wie folgt geschehen:

service apache2 restart

oder

/etc/init.d/apache2 restart

Unter BSD auch mit service apache22 start