|
Installationshinweise SSL Cert auf Apache-Webserver
Technischen Voraussetzungen für SSL
1. Der Webserver muss entsprechend konfiguriert sein ( das ist heute fast immer der Fall) .
2. SSL muss vom Provider für die Site aktiviert sein ( entfällt natürlich bei dedizierten Servern ).
3. Pro IP Adresse ist nur ein Zertifikat möglich, bei shared Hosting wird also eine eigene IP Adresse benötigt.
4. OpenSSL muß auf dem Server installiert sein ( auch das ist heute fast immer der Fall ).
5. Für die Installation sind Root-Rechte erforderlich, ggf. wird also die Hilfe des Providers benötigt.
Generell kann man sagen, dass die technischen Voraussetzungen auf dedizierten Server so gut wie immer gegeben sind, oder sich leicht herstellen lassen. Bei shared Hosting sind nur hochwertige Pakete mit eigener IP Adresse geeignet und es wird die Unterstützung des Providers benötigt.
Was ist ein CSR und wie erstelle ich es ?
CSR steht für "Certificate Signing Request". Es ist ein Datensatz, der für die Erstellung des
Zertifikates benötigt wird. Viele graphische Administrationstools (z. B. das von uns eingesetzte
Sun Cobalt RaQ UI) ermöglichen es ein CSR per Mausklick zu erstellen. Besteht diese
Möglichkeit nicht, so wird openSSL verwendet. Dazu wird in einer SSH-Sitzung der Befehl
openssl req –new –nodes -keyout server.key –out server.csr
eingegeben. Es folgt ein Eingabedialog, der wie folgt zu beantworten ist:
Country Name DE
State or Province Name <Bundesland>
Locality Name <Ort>
Organization Name <Firma>
Organizational Unit Name <beliebig>
Common Name <Webadresse, die gesichert werden soll, z.B. www.ihrname.tld>
Email Adress <Email Adresse>
Challenge password <Passwort>
Anschließend befinden sich zwei neue Dateien im Arbeitsverzeichnis.
Die Datei server.key ist der Private Key, den der Server zur Entschlüsselung der Daten benutzt.
Ohne diesen Private Key ist das Zertifikat später wertlos, deshalb sollte diese Datei
sorgfältig gesichert werden. Die Datei server.csr ist das benötigte CSR.
Wie erfolgt die Installation eines Zertifikates ?
Zusammen mit dem Zertifikat erhalten Sie von uns eine weitere Datei mit dem Namen ca-bundle.
Kopieren Sie beide Dateien und den Private Key in ein geeignetes Verzeichnis.
Auf dem Webserver Apache gehen Sie für die Installation bitte wie folgt vor:
1. kopieren Sie die Dateien "ca-bundle" und "<ihrname-tld>.crt" auf den Server
2. Fügen Sie in der Datei httpd.conf dem vHost für "<www.ihrname.tld>" folgende Einträge zu:
SSLCertificateFile /Pfad zu Zerfifikatsdatei
SSLCertificateKeyFile /Pfad zum Private Key
SSLCACertificateFile /Pfad zur Datei ca-bundle
Wenn auf dem Server mehrere Zertifikate installiert werden sollen
(z. B. beim shared Hosting) sind diese Einträge in den Abschnitt des entsprechenden Vhosts
einzufügen. Bei einigen Konfigurationen kommen sie nicht direkt in die httpd.conf,
sondern in eine Include-Datei wie z. B. vhosts.conf oder sslproxy.conf.
3. Starten Sie den Webserver neu: apachectl restart
SSL Knowledge base Was ist der Unterschied zwischen Domain- und Identitätszertifizierung?
Bei der Domainzertifizierung wird durch einen E-Mail-Robot eine E-Mail an eine Adresse aus
dem WHOIS oder eine alternative administrative Adresse gesandt, um die Bestellung zu bestätigen.
Hiermit wird sichergestellt und abschließend zertifiziert, dass die Domain sowie ein
administrativer Kontakt dieser existiert. Im Zertifikat wird ausschließlich die Domain genannt,
auch das SiteSeal des Limitbreaker-Zertifikates, welches abweichend von der üblichen
SiteSeal-Technik ebenfalls anklickbar ist, zeigt nur die Domain an, die zertifiziert wurde.
Bei der Identitätszertifizierung wird ein entsprechendes Dokument zur Authentifizierung des
Zertifikatsinhabers angefordert, geprüft und mit den Angaben im WHOIS abgeglichen.
Beim Platinum-Zertifikat erfolgt außerdem ein Anruf beim Zertifikatsinhaber,
um die Bestellung noch einmal abschließend zu bestätigen. Im daraufhin ausgestellten
Zertifikat werden die kompletten Angaben des Zertifikatsinhabers angezeigt.
Ebenso werden die vollständigen Daten in der Echtzeitüberprüfung über das jeweilige
SSL-Logo - soweit vorhanden - angezeigt.
Während die Identitätszertifizierung die eigentlich einzig korrekte Form der Zertifizierung darstellt,
gehen viele Zertifizierungsstellen heute dazu über, auch Domainzertifizierungen anzubieten.
Dabei täuscht oft der Begriff der so genannten 2. Zertifikatsgeneration über die Tatsache hinweg,
dass diese Zertifikate nur das offensichtliche, nämlich die aufgerufene Domain, zertifizieren,
jedoch keine wirkliche Identitätssicherstellung bieten, so wie Zertifikate ursprünglich einmal gedacht waren.
Vielen Kunden ist es jedoch ausschließlich wichtig, ein validiertes Zertifikat zu haben,
um die Fehlermeldung, die bei selbst ausgestellten Zertifikaten erscheint, nicht weiter
bestätigen zu müssen bzw. ihren Kunden die entsprechende Verschlüsslung ohne lästige Fehlermeldung
zu bieten. Die wenigsten Besucher einer Website schauen heutzutage wirklich in den Zertifikatsinhalt
oder nutzen die Möglichkeit des SSL-Logos, wodurch jedoch auch die Anzahl von Pishingopfern leider
weiterhin sehr hoch ist. Generell ist es zu empfehlen, bei hochpreisigen oder sensitive Waren bzw.
Daten ein Zertifikat zu wählen, welches die Identität zertifiziert.
Bei administrativen Zugängen wie für Confixx oder Plesk, aber auch bei kleinen oder
normalen Shops mit keinen besonders hochpreisigen oder sensitiven Artikeln,
kann auch ein Domainzertifikat verwandt werden.
Anhand der in der Produkttabelle verlinkten Beispiele können Sie im Vergleich sehen, wie ein Zertifikat,
bei dem nur die Domain zertifiziert wurde, sich von einem Zertifikat,
welches die Identität zertifiziert, unterscheidet. Was ist ein SiteSeal?
Ein SiteSeal ist eine einfache Grafik, die Sie auf Ihrer Website platzieren können,
um Ihre Besucher auf den Einsatz von SSL-Technologie und die Authentifizierung
durch eine Zertifizierungsstelle hinzuweisen. Im Gegensatz zum TrustLogo verzichtet
das SiteSeal auf eine dynamische Echtzeitprüfung, kann aber für kleinere oder
normale Online-Shops absolut ausreichend sein. Was ist ein SSL-Logo?
Ein SSL-Logo ermöglicht es Ihnen, Ihre Sicherheit und Vertrauenswürdigkeit zu untermauern.
Durch eine spezielle Grafik können Kunden neben dem eigentlichen SSL-Zertifikat auch per
Klick auf die Grafik bzw. bei Zertifikaten der Produktlinie Gold auch bereits bei einfacher
Berührung der Grafik mit dem Mauszeiger Ihren Vertrauensstatus in Echtzeit abfragen.
Hierbei wird der Zertifikatsträger entsprechend den bei der Bestellung übermittelten
Daten dem Kunden direkt und offensichtlich angezeigt.
Ein TrustLogo kann im anonymen Bereich des e-Commerce Hemmschwellen abbauen und
dadurch mehr Umsätze generieren, dadurch empfiehlt sich in Verbindung mit Online-Shops
generell der Einsatz eines TrustLogos. Auf unserer Website finden Sie ebenfalls ein TrustLogo,
welches Sie natürlich jederzeit live testen können.
|
