Red Hat Enterprise Linux 3: Handbuch zur System-Administration | ||
---|---|---|
Zurück | Kapitel 27. Konfiguration von Apache HTTP Secure Server | Nach vorne |
Sobald Sie einen Schlüssel erstellt haben, ist der nächste Schritt für Sie die Erstellung eines Zertifikatsantrags, den Sie an die ZS Ihrer Wahl schicken. Stellen Sie sicher, dass Sie sich im /usr/share/ssl/certs-Verzeichnis befinden, und geben Sie folgenden Befehl ein:
make certreq |
Ihr System zeigt folgende Ausgabe an und fordert Sie auf, Ihr Passwort einzugeben (es sei denn, Sie haben die Passwort-Option deaktiviert):
umask 77 ; \ /usr/bin/openssl req -new -key /etc/httpd/conf/ssl.key/server.key -out /etc/httpd/conf/ssl.csr/server.csr Using configuration from /usr/share/ssl/openssl.cnf Enter pass phrase: |
Geben Sie das Passwort ein, mit dem Sie den Schlüssel erstellt haben. Ihr System wird einige Anweisungen anzeigen und Sie dann auffordern, eine Reihe von Fragen zu beantworten. Ihre Eingaben werden in den Zertifikatsantrag integriert. Die anschließende Anzeige mit Beispielantworten sieht folgendermaßen aus:
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:US State or Province Name (full name) [Berkshire]:North Carolina Locality Name (eg, city) [Newbury]:Raleigh Organization Name (eg, company) [My Company Ltd]:Test Company Organizational Unit Name (eg, section) []:Testing Common Name (your name or server's hostname) []:test.example.com Email Address []:admin@example.com Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: |
Die Standardantworten werden unmittelbar nach den jeweiligen Eingabeaufforderungen in Klammern angezeigt []. Die erste Angabe, zu der Sie aufgefordert werden, ist das Land, in dem das Zertifikat benutzt werden soll. Dies sieht dann wie folgt aus:
Country Name (2 letter code) [GB]: |
Die vordefinierte Eingabe in eckigen Klammern ist GB. Wenn Sie den Standardwert akzeptieren möchten, drücken Sie einfach die
Geben Sie dann die restlichen Angaben ein. Dies sollte selbsterklärend sein, halten Sie sich jedoch an folgende Richtlinien:
Kürzen Sie den Namen der Stadt oder des Landes nicht ab, sondern schreiben ihn jeweils aus (St. Augustin wird also beispielsweise als Sankt Augustin eingegeben).
Wenn Sie diesen Zertifikatsantrag an eine ZS schicken, achten Sie bitte darauf, dass Ihre Angaben in allen Feldern vollständig und korrekt sind, insbesondere in den Feldern Organization Name und Common Name. Eine ZS überprüft die Angaben im Zertifikatsantrag, um sicherzustellen, dass Ihr Unternehmen wie unter Common Name angegeben haftbar ist. Die ZS wird solche Anträge, in denen aus Ihrer Sicht ungültige Angaben enthalten sind, zurückschicken.
Stellen Sie bei der Eingabe des Common Name sicher, dass Sie den wirklichen Namen Ihres Secure Server (ein gültiger DNS-Name) und keinen Alias-Namen eingeben.
Die Email Address sollte mit der E-Mail-Adresse Ihres Webmasters oder Systemadministratoren übereinstimmen.
Vermeiden Sie alle Sonderzeichen wie z.B. @, #, &, ! o.ä. Einige ZS weisen Zertifikatsanträge, die Sonderzeichen enthalten, zurück. Wenn also Ihr Unternehmens-Name ein "&" enthält, schreiben Sie ihn aus und geben statt "&" das Wort "und" ein.
Füllen Sie unter den zusätzlichen Attributen weder (A challenge password noch An optional company name) aus. Um mit der Eingabe fortzufahren, ohne diese Felder auszufüllen, drücken Sie einfach die
Nach der Eingabe Ihrer Daten wird eine Datei mit dem Namen /etc/httpd/conf/ssl.csr/server.csr erstellt. Diese Datei ist Ihre Zertifikatsanfrage, die Sie nun an die ZS schicken können.
Nachdem Sie sich für eine ZS entschieden haben, folgen Sie deren Anweisungen auf der Website. Diesen Anweisungen entnehmen Sie, wie Sie Ihren Zertifikatsantrag verschicken sollen, welche Dokumente außerdem noch für die ZS erforderlich sind. Desweiteren werden Sie hier über die Zahlungsmodalitäten informiert.
Sobald Sie die Anforderungen der ZS erfüllt haben, wird Ihnen diese das Zertifikat (in der Regel per E-Mail) zusenden. Speichern Sie (auch durch Ausschneiden/Einfügen möglich) das Ihnen von der ZS zugesandte Zertifikat unter dem Namen /etc/httpd/conf/ssl.crt/server.crt. Stellen Sie sicher, dass Sie ein Backup dieser Datei erstellen.
Zurück | Zum Anfang | Nach vorne |
Erstellen eines Schlüssels | Nach oben | Erstellen eines eigensignierten Zertifikats |