Red Hat Linux 7.0: Das Offizielle Red Hat Linux Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 11 Beantragen eines Zertifikats für Ihren sicheren Server | Vor |
Zunächst müssen Sie den Schlüssel und das Zertifikat entfernen, die während der Installation generiert wurden. cd in das Verzeichnis /etc/httpd/conf.
Entfernen Sie die zwei Dateien mit den folgenden Befehlen:
rm ssl.key/server.key |
und
rm ssl.crt/server.crt |
Als ersten Schritt zur Erstellung eines Zertifikats erstellen Sie einen eigenen zufallsgenerierten Schlüssel mit dem folgenden Befehl:
make genkey |
Ihr System zeigt eine Meldung ähnlich der folgenden an:
umask 77 ; \ /usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key Generating RSA private key, 1024 bit long modulus .......++++++ ................................................................++++++ e is 65537 (0x10001) Enter PEM pass phrase: |
Geben Sie nun ein Passwort ein. Ein sicheres Passwort sollte mindestens acht Zeichen umfassen, Zahlen und Satzzeichen enthalten und nicht einem Wörterbuch entnommen sein. Denken Sie außerdem daran, dass Klein- und Großschreibung beachtet werden.
Bitte beachten | |
---|---|
Sie müssen das Passwort bei jedem Start von Red Hat Linux Secure Web Server eingeben. Vergessen Sie es nicht. |
Sie werden aufgefordert, das Passwort zur Bestätigung ein zweites Mal einzugeben. Wenn es korrekt eingegeben wurde, wird die Datei server.key mit Ihrem Schlüssel erstellt.
Wenn Sie das Passwort nicht bei jedem Start des Red Hat Linux Secure Web Server eingeben möchten, verwenden Sie anstelle von make genkey die folgenden beiden Befehle, um den Schlüssel zu generieren. Beide Befehle sollten in einer Zeile eingegeben werden.
Mit dem Befehl:
/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key |
erzeugen Sie Ihren Schlüssel. Verwenden Sie dann den folgenden Befehl:
chmod go-rwx /etc/httpd/conf/ssl.key/server.key |
um sicherzustellen, dass die Berechtigungen im Schlüssel korrekt gesetzt sind.
Wenn Sie diese Befehle zur Generierung des Schlüssels verwenden, müssen Sie Ihren Red Hat Linux Secure Web Server nicht mit einem Passwort starten.
Bitte beachten | |
---|---|
Der Zugriffsschutz auf Ihren Web-Server ist gefährdet, wenn Sie die Passwort-Funktion deaktivieren. Aus diesem Grund wird davon abgeraten, die Passwort-Funktion für Ihren Red Hat Linux Secure Web Server zu deaktivieren. |
Die Probleme, die mit der Deaktivierung des Passworts verbunden sind, stehen in direktem Zusammenhang mit der Sicherheit des Host-Systems. Personen mit krimineller Energie, die die regulären UNIX-Sicherheitsfunktionen auf dem Host-Rechner außer Kraft setzen, könnten Ihren privaten Schlüssel (den Inhalt Ihrer Datei server.key) abrufen. Mit diesem Schlüssel können falsche Web-Seiten erstellt werden, die scheinbar von Ihrer Site kommen.
Wenn alle von UNIX vorgesehenen Sicherheitsvorkehrungen für den Host-Computer genau eingehalten werden (d.h. alle Betriebssystem-Patches und -aktualisierungen werden bei Verfügbarkeit installiert, es werden keine unnötigen oder risikoreichen Services in Anspruch genommen usw.) mag das Red Hat Linux Secure Web Server Passwort nicht notwendig erscheinen. Da der Red Hat Linux Secure Web Server jedoch selten neu gestartet werden muss, lohnt es sich in den meisten Fällen, die Sicherheit durch ein Passwort noch zu erhöhen.
Die Datei server.key sollte Eigentum des Root-Benutzers Ihres Systems und für andere Benutzer nicht zugänglich sein. Erstellen Sie eine Sicherungskopie dieser Datei, und bewahren Sie die Kopie an einem sicheren Ort auf. Die Sicherungskopie ist wichtig für den Fall, dass die Datei server.key nach der Erstellung des Zertifikatsantrags verloren gehen sollte. In diesem Fall ist das Zertifikat ungültig, und die Zertifizierungsstelle wird Ihnen nicht helfen können. Die einzige Möglichkeit wäre dann das Beantragen (und Bezahlen) eines neuen Zertifikats.
Wenn Sie ein Zertifikat von einer Zertifizierungsstelle erwerben, fahren Sie bei Abschnitt namens Erzeugen von Zertifikatsanträgen für die Zertifizierungsstelle fort. Wenn Sie ein eigenes Zertifikat erstellen, fahren Sie bei Abschnitt namens Erstellen eines Zertifikats mit eigener Signatur fort.