LiveConfig - SSL-Zertifikate einrichten und bearbeiten

Aus HOSTING-STATION55 - Webhosting Wiki / FAQ
Wechseln zu: Navigation, Suche

SSL-Zertifikate in LiveConfig einrichten

Wenn Sie ein SSL-Zertifikat in LiveConfig einrichten möchten, dann gehen Sie bitte wie folgt vor:

LiveConfig Login -> Menüpunkt Hosting -> SSL-Zertifikate

LiveConfig : SSL Zertifikat Einrichten.

SSL-Zertifikate

Wenn ein Webspace-Vertrag die Eigenschaft „HTTPS (SSL)“ enthält, dann hat der jeweilige Kunde die Möglichkeit entsprechende SSL-Zertifikate zu verwalten. Die einzelnen Komponenten für ein SSL-Zertifikat können wahlweise über LiveConfig selbst erzeugt oder aber importiert werden.Privater Schlüssel

Privater Schlüssel

Für ein SSL-Zertifikat wird immer ein Schlüsselpaar - bestehend aus privatem und öffentlichem Schlüssel - benötigt. Diese Schlüssel können in LiveConfig erzeugt werden; als Algorithmus steht RSA zur Verfügung (DSA kommt in der Praxis eher selten zum Einsatz). Die Schlüssellänge sollte mindestens 2048 Bit betragen, wahlweise kann auch ein 4096-Bit-Schlüssel erzeugt werden, was allerdings deutlich länger dauert.

Falls bereits ein RSA-Schlüssel vorhanden ist, kann dieser importiert werden. Wenn der Schlüssel mit einem Passwort geschützt ist, muss dieses dabei mit angegeben werden - LiveConfig braucht zwangweise Zugriff auf den „uncodierten“ Schlüssel. Intern speichert LiveConfig diesen aber wieder verschlüsselt ab (jedoch mit einem anderen Passwort).

Zertifikatsanforderung (CSR) erzeugen

Für die Bestellung eines SSL-Zertifikats wird normalerweise eine Zertifikatsanforderung (Certificate Signing Request - kurz CSR) benötigt. Diese CSR enthält unter anderem den öffentlichen Schlüssel für das gewünschte SSL-Zertifikat, sowie einige Angaben zum Antragsteller. Welche Angaben hier im einzelnen benötigt werden kommt auf den Zertifikatsaussteller (CA) sowie das jeweils bestellte Produkt an.

In jedem Fall muss das Feld Allgemeiner Name (Common Name, kurz CN) exakt den Domainnamen enthalten, für den später das SSL-Zertifikat genutzt werden soll. Wenn Sie das Zertifikat bei-Erste Schritte beispielsweise für https://www.example.org nutzen möchten, tragen Sie hier www.example.org ein und nicht nur example.org!
Die weiteren Eingabefelder sind:

  1. Organisation (O): Organisation, Firma oder Einrichtung, auf deren Namen das SSL-Zertifikat ausgestellt werden soll
  2. Organisationseinheit (OU): Abteilung innerhalb der o.g. Organisation; kann im Zweifelsfall auch einfach leer gelassen werden
  3. Stadt (L): die Stadt, in der sich die o.g. Organisation befindet
  4. Bundesland (ST): das Bundesland, Kanton oder die Provinz, in der sich die o.g. Organisation befindet
  5. Land (C): das Land, in dem sich die o.g. Organisation befindet
  6. E-Mail-Adresse: eine (allgemeine) E-Mail-Adresse zur Kontaktaufnahme

Zertifikat

Wenn der private Schlüssel vorliegt kann wahlweise mit eventuell erfassten CSR-Informationen ein selbst-signiertes Zertifikat erzeugt oder ein „offizielles“ SSL-Zertifikat importiert werden. Wenn der private Schlüssel unverändert bleibt kann das Zertifikat auch jederzeit ersetzt werden; so kann man beispielsweise mit einem selbst-signierten Zertifikat eine neue Website testen und dann zu einem späteren Zeitpunkt ein normales SSL-Zertifikat bestellen.

CA-Zwischenzertifikate

Bei aktuellen SSL-Zertifikaten von offiziellen Zertifizierungsstellen (Certification Authorities, kurz  CA) ist in den meisten Fällen die Verwendung von einem oder mehreren sogenannten „Zwischenzertifikaten“ notwendig, damit Browser keine Fehlermeldung erzeugen. Falls also entsprechende Zwischenzertifikate vorliegen, können diese hier importiert werden.

SSL-Zertifikat verwenden

Die Verwendung eines SSL-Zertifikats für LiveConfig wird über die Konfigurations-Einstellung http_ssl_certificate gesteuert.

Dabei verhält sich LiveConfig wie folgt:

  1. Ist http_ssl_certificate auskommentiert aber mindestens ein HTTPS-Port konfiguriert, dann erzeugt LiveConfig bei jedem Start automatisch ein temporäres, selbst-signiertes SSLZertifikat.
  2. Ist http_ssl_certificate definiert, aber die angegebene Datei existiert nicht, dann erzeugt LiveConfig ein selbst-signiertes SSL-Zertifikat und schreibt es (mit dem dazugehörigem Schlüssel) in die angegebene Datei (Sie müssen somit nicht nach jedem LiveConfig-Neustart in Ihrem Browser ein neues temporäres Zertifikat akzeptieren).
  3. Ist http_ssl_certificate definiert und die angegebene Datei vorhanden, so wird aus dieser das SSL-Zertifikat und der dazugehörige private Schlüssel gelesen und verwendet.Lizenz-Aktivierung.

Die Zertifikats-Datei muss folgende Daten PEM-codiert in der angegebenen Reihenfolge enthalten:

  1. den privaten Schlüssel für das SSL-Zertifikat (ohne Passwortschutz)
  2. das eigentliche SSL-Zertifikat (X.509)
  3. eventuelle Zwischenzertifikate, falls der Aussteller des SSL-Zertifikates solche erfordert („Chained SSL“)

Bitte achten Sie darauf, dass der private Schlüssel keinen Passwortschutz enthält, da LiveConfig sonst nicht automatisch starten kann!