# SSL-Zertifikat für Web anlegen



## hahni (19. März 2010)

Hallo zusammen,

für ein Web benötige ich ein SSL-Zertifikat. Was genau muss getan werden, um den Key und dann das Zertifikat zu erhalten?

Eine weitere IP ist vorhanden. Die muss ich ja einmal bei den Netzwerkeinstellungen hinterlegen, damit diese dann auch in ISPConfig zur Verfügung steht.

Dann natürlich genau für dieses Web auch die entsprechende IP hinterlegen. Doch wie genau läuft das mit den Zertifikaten? Wo muss der Key und das Zertifikat abgelegt werden etc.?

Viele Grüße

Hahni


----------



## Till (19. März 2010)

Du erstellst ein neues Zertifikat direkt in ISPConfig auf dem SSL Reiter der Webseite. 
1) Daten für Zertifikat eingeben.
2) Zertifikat erstellen als Aktion auswählen und auf speichern klicken. Dann ein paar Minuten warten.
3) Dann nimmst Du das csr das erstelt wurde und reichst es zum signieren bei der SSL authority ein.
4) Das SSL Cert was Du zurück bekommst, fügst Du in das cert Feld in ispconfig ein, wählst als Aktion speichern aus und klickst auf speichern.


----------



## hahni (19. März 2010)

Also die Felder erscheinen erst, wenn ich den Haken "SSL" gesetzt habe und dann das Web zwischenzeitlich gespeichert habe?


----------



## Till (19. März 2010)

Genau. Du musst erstmal ssl für die Webseite aktivieren.


----------



## hahni (19. März 2010)

Ich probiere morgen mein Glück. Denn die Domain ist erst heute in unseren Bestand gewandert. Habe mir schon gedacht, dass dies genau wie bei den Cron-Jobs ein verschachteltes Menü ist


----------



## hahni (20. März 2010)

Das generierte File kann ja auch eher erzeugt werden. Aber kollidiert das dann vom Zeitraum nicht mit dem, welches der Zertifizierer ausstellt? Die laufen ja meist 1 Jahr. Werde das dann nämlich morgen mal probieren. Es sei denn, es funktioniert so nicht. Die Bearbeitung dauert ja meist auch noch seine Zeit...


----------



## Till (22. März 2010)

> Aber kollidiert das dann vom Zeitraum nicht mit dem, welches der Zertifizierer ausstellt?


Nein, das ist kein Problem, da das CSR garnicht das datum enthält. Du kannst das selbe CSR  jedes mal wieder zur Beantragung eines neuen SSL Certs nehemn, sogar nach jahren, solange sich nichts an den Angaben zur Domain geändert hat.


----------



## pee (22. März 2010)

http://ispc-wiki.org/ispconfig3-anleitung#ssl_zertifikate


----------



## hahni (23. März 2010)

@Till
Vielen Dank für deine Hilfe. Habe den Request einmal erzeugt und werde morgen das Zertifikat bestellen. Mal sehen, ob das dann auch noch klappt. Dann muss ja nur der Key in das mehrzeilige Textfeld kopiert werden, richtig?

@pee
Die Anleitung ist zwar für ISPConfig 3, aber es sieht bei ISPConfig 2 relativ ähnlich aus. Mal schauen, obs klappt


----------



## hahni (25. März 2010)

Die Firmierung wird im Zertifikat vom CSR abweichen. Der Aussteller hat sich daran gestört. Ändern geht aber nicht, weil ISPConfig keine " und & mag. Ist das schlimm, wenn CSR und Zertifikat nicht identisch sind? Wenn ja, wie kann ich das dann bei ISPConfig richtig hinterlegen?


----------



## Till (25. März 2010)

Zertifikat und csr sind niemals verschieden  da der Inhalt des zertifikates auf den Angaben des csr basiert. Du kannst also höchstens ein ssl Cert manuell erstellen, musst Dann ber auch das key file etc. manuell austauschen, sonst startet der apache nicht mehr.


----------



## hahni (25. März 2010)

Mit Keyfile austauschen meinst du den Wert des CSR überschreiben? Wenn dies der Zertifizierer ausstellt, dann sollte ich von ihm auch CSR und SSL bekommen, oder?

Merkt ISPConfig, wenn da was nicht stimmt oder bleibt dann gleich die ganze Kiste stehen und nix geht mehr?


----------



## Till (26. März 2010)

Nein, mit keyfile tauschen meine ich den Austausch des Key files welches Du im ssl Ordner der Webseite findest.



> Merkt ISPConfig, wenn da was nicht stimmt oder bleibt dann gleich die  ganze Kiste stehen und nix geht mehr?


ispconfig merlt das nicht, da es mit httpd -t nicht getestet werden kann. apache startet dann nicht mehr wenn da was nicht stimmt. Also mach vorher ein Backup des ssl Ordner der Webseite.


----------



## hahni (27. März 2010)

Hallo Till,

und wo bekomme ich das Keyfile her, um es austauschen zu können? Wenn beim nächsten Reboot der Apache nicht starten kann, steht dann die ganze Maschine und ich kann nichts mehr machen?

Viele Grüße

Hahni


----------



## Till (29. März 2010)

> und wo bekomme ich das Keyfile her, um es austauschen zu können?


Das musst Du manuelle uf der Shell erstellen. Die Forma bei der Du Dir das SSL Cert besorgst, hat da sicherlich eine Anleitung dafür.



> Wenn beim nächsten Reboot der Apache nicht starten kann, steht dann die  ganze Maschine und ich kann nichts mehr machen?


Da solltest Du vorher ein backup des ssl Ordners erstellen.


----------



## hahni (30. März 2010)

Also kann ich jederzeit durch reinkopieren der alten Dateien den Apache wieder lauffähig halten/bekommen?

Wie kann ich ohne Neustart testen, ob das Zertifikat passt? Einfach den Apache restarten?


----------



## hahni (30. März 2010)

Habe das neue Zertifikat in das Textfeld eingefügt. Wenn ich statt http dann https eingebe, kommt die Meldung, das Zertifikat sei ungültig. Muss irgendetwas neu gestartet werden? Außerdem soll es immer so sein, dass https automatisch ausgeführt wird. Und nicht nur, wenn der Benutzer den Protokolltyp ändert. Geht dies auch?


----------



## hahni (30. März 2010)

Habe den Request neu erzeugt, damit der Firmenname im Zertifikat mit dem im Request übereinstimmt. Wenn ich den SSL-Modus manuell anwähle (automatisch geht leider nicht) kommt trotzdem folgende Fehlermeldung:

--
www.domain.eu verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

(Fehlercode: sec_error_untrusted_issuer)
--

Request und Zertifikat sind die aktuelle Version und als ich das Zertifikat eingefügt habe, bin ich auf "Zertifikat speichern" gegangen. Sonst nichts.

Und bei "http -t" erscheint:

--
httpd -t
httpd: bad user name ${APACHE_RUN_USER}
--


----------



## Till (31. März 2010)

Hast Du denn das signierte ssl cert des Anbieters bereits in ispconfig eingefügt und als Aktion speichern gewählt bzw. es manuell im ssl folder gespeichert?


----------



## hahni (31. März 2010)

Ja, in ISPConfig2 und anschließend auf Speichern gegangen...


----------



## Till (31. März 2010)

Schau mal in der Installations-Anleitung die bei Deinem ssl cert dabei war nach. ob Du nicht noch ein bundle oder chain Zertifikat zusätzlich einbinden musst. Das ist bei fast allen günstigeren Anbietern der Fall.


----------



## hahni (31. März 2010)

Nein, da war nichts dabei. Nur das Zertifikat!


----------



## hahni (31. März 2010)

Ich schicke dir mal das Mail von GeoTrust per Private Mail. Vielleicht habe ich auch was übersehen.


----------



## hahni (1. Apr. 2010)

Kann mir wirklich niemand, niemand von der ganzen Community helfen? Setzt niemand SSL-Zertifikate ein oder geht das dann doch ned mit ISPConfig?


----------



## Till (1. Apr. 2010)

Hast Du den apache neu gestartet?


----------



## hahni (1. Apr. 2010)

Habe ich nicht gemacht. Ich habe Sorge, dass er nicht mehr läuft und alle Webpräsenzen stehen. Sollte das nicht auch ISPConfig-Seitig ohne Neustart gehen?


----------



## Till (1. Apr. 2010)

Du musst den apache schon neu starten, damit er es übernimmt.


----------



## hahni (1. Apr. 2010)

"apache2 restart"?

Also das bloße Einfügen von Reqeust und Zertifikat bringt überhaupt nix? Es muss immer manuell neu gestartet werden?


----------



## Till (1. Apr. 2010)

> Also das bloße Einfügen von Reqeust und Zertifikat bringt überhaupt nix?  Es muss immer manuell neu gestartet werden?


Würde ich Dir sonst sagen, dass Du ihn neu starten sollst 

Apache startet man so neu:

/etc/init.d/apache2 restart


----------



## hahni (1. Apr. 2010)

Hey Till, coole Sache! Es läuft. Allerdings soll nur im HTTPS-Modus gearbeitet werden bzw. dorthin gesprungen werden. Im Standard geht aber HTTP  Aber der HTTP-Modus soll gar nicht verfügbar sein.


----------



## Till (1. Apr. 2010)

Woraufhin Du selbständig die Suchfunktion im Forum oder google benutzt hast und auf diesen Beitrag gestoßen bist....

http://www.howtoforge.de/forum/showthread.php?t=882

Siehe Antwort von Grey. Ich bin doch nicht der Such-Assistent, also bitte in Zukunft auch mal selber suchen.


----------



## hahni (1. Apr. 2010)

Hallo Till,

vielen Dank, dass du dir die Zeit für mich genommen hast. Danach hätte ich nicht gesucht und folglich auch den Beitrag nicht gefunden.

Aber wenn ich es richtig verstehe. einfach die Direktive direkt ins Web eintragen, damit quasi über htaccess-Einträge die auf 443 umgelenkt wird?

Viele Grüße und besten Dank für deine Geduld!

Hahni


----------

