staging.inyokaproject.org

ssl-cert

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Dieser Artikel ist mit keiner aktuell unterstützten Ubuntu-Version getestet! Bitte teste diesen Artikel für eine Ubuntu-Version, welche aktuell unterstützt wird. Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Wiki/Icons/security.png Möchte man die verschlüsselten Protokolle wie HTTPS, IMAPS oder POP3S nutzen, so benötigt man ein SSL-Zertifikat einer CA (Certification Authority). Eigentlich muss solch ein Zertifikat von Firmen oder Organisationen ausgestellt werden, die dafür autorisiert sind. Doch für Testzwecke oder die private Nutzung reicht oft auch ein selbstsigniertes Zertifikat. Dieses wird durch den Befehl ssl-cert auf dem Rechner erstellt. Allerdings kann der praktische Einsatz durch kleinere Probleme getrübt sein.

Installation

Durch die Installation [1] des folgenden Pakets wird das Zertifikat sofort erzeugt:

  • ssl-cert

Befehl zum Installieren der Pakete:

sudo apt-get install ssl-cert 

Oder mit apturl installieren, Link: apt://ssl-cert

Nutzung

Man kann diesen Vorgang auch später durch folgenden Befehl wiederholen [2][3]:

sudo make-ssl-cert generate-default-snakeoil 

Die dadurch generierten Dateien werden sofort in die SSL-Schlüssel aufgenommen:

SSL-Zertifikat /etc/ssl/certs/ssl-cert-snakeoil.pem
SSL-Schlüssel /etc/ssl/private/ssl-cert-snakeoil.key

und können dort beispielsweise von Serveranwendungen genutzt werden.

SSL-Zertifikate erneuern

Sollte sich der Rechnername ändern oder das Zertifikat ablaufen, so kann man durch den Befehl:

sudo make-ssl-cert generate-default-snakeoil --force-overwrite 

ein neues Zertifikat erzeugen. Damit das neue Zertifikat verwendet wird, müssen die entsprechenden Dienste neu gestartet werden.

Problembehebung

Wenn ein Zertifikat über die obigen Schritte erneuert wurde (force-overwrite), ist darauf zu achten, dass im Zertifikat der richtige Rechnername eingetragen wird. ssl-cert setzt diesen als CommonName des Zertifikates ein. Der Name kann im laufenden Betrieb mittels des Befehls:

sudo hostname NEUER_NAME 

geändert (die Datei /etc/hostname wird nur beim Systemstart gelesen) oder einfach nur mit hostname ausgelesen werden.

Danach wird versucht, diesen Hostname aufzulösen (mittels /etc/hosts, DNS, etc). Wenn ssl-cert den Namen nicht auflösen kann, bekommt man eine Fehlermeldung, dass der Hostname kein gültiger FQDN ist.

intern

  • TLS-Zertifikate - Übersichtsseite zu TLS

  • certbot - Zertifikate von Let’s Encrypt mittels certbot erhalten

  • Howto/getssl - kostenlose Let's Encrypt-Zertifikate über getssl erhalten

  • CA - eine eigene Certification Authority betreiben

  • CAcert - Community, die kostenlose SSL-Zertifikate ausstellt

extern

  • SSL - Wikipedia-Artikel zu SSL/TLS

Diese Revision wurde am 13. Oktober 2022 14:45 von DJKUhpisse erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Sicherheit, Verschlüsselung, SSL, SSL-Cert, Netzwerk, Server, Internet, ungetestet