Einrichten der Transportverschlüsselung mit SSL/TLS auf INET1

Ich möchte den Besuchern meines Blogs den Zugang über HTTPS ermöglichen. Das dafür nötige SSL-Zertifikat habe ich schon bei der Einrichtung des Mailservers eingerichtet. Ich habe damit schon alle Voraussetzungen geschaffen, damit mein Webserver nachweisen kann, dass er es auch wirklich ist und die Clients der Besucher die Möglichkeit haben, eine verschlüsselte Verbindung aufzubauen. Also habe ich mich daran gemacht, den Apache Webserver entsprechend zu konfigurieren.

Schritt 1: Transportverschlüsselung mit SSL/TLS

Als erste habe ich die Konfigurationsdatei für meinen virtuellen Host example.com kopiert und mit einem neuen Dateinamen versehen. Anhand des neuen Dateinamens kann man sofort erkennen, dass es sich hier um eine verschlüsselte Verbindung handelt.

Als Nächstes habe ich die neue Datei im Editor zum Bearbeiten geöffnet.

Die Datei habe ich nach folgenden Listing angepasst.

Anschließend die Änderungen sichern und und mit den folgenden 3 Kommandozeilenbefehlen die SSL-Verschlüsselung aktivieren.

Schritt 2: Root-Zertifikat auf CLIENT 1 importieren

Bis jetzt laufen genau zwei Webseiten auf meinem Webserver INET1 im Testlabor. Da ist der Blog mit WordPress und die Verwaltungsoberfläche Webmin. Bevor ich dies aber durchführe, sollte ich meine Zertifizierungsstelle meinen Clients als vertrauenswürdige Zertifizierungsstelle bekannt machen. Das erledige ich damit, indem ich auf den Rechner das Root-Zertifikat (Public Key der CA) installiere.

Unter Ubuntu Desktop ist das relativ einfach. Das Root-Zertifikat lade ich mir über Webmin herunter.

Anschließend kann ich es mit den beiden folgenden Kommandozeilenbefehlen installieren.

Zum Schluss muss ich nur noch das Zertifikat im Browser Mozilla Firefox bekannt machen. Dazu öffne ich die Einstellungen von Mozilla Firefox.

Gehe dort in den Menüpunkt Datenschutz & Sicherheit, scrolle ganz nach unten bis zum Punkt Zertifikate und klicke auf den Button Zertifikate anzeigen…

Hier wechsle ich in den Reiter Zertifizierungsstellen und klicke auf den Button Importieren

Ich wähle mein Root-Zertifikat ca-root.pem aus und klicke auf den Button Öffnen.

Beim Importieren achte ich darauf, dass das Zertifikat Websites und Mail-Benutzer identifizieren kann.

Damit sind meine Arbeiten auf CLIENT1 erledigt und ich kann das Zertifikat auf dem Windows-PC CLIENT2 auch importieren.

Schritt 3: Root-Zertifikat auf CLIENT2 importieren

Auf CLIENT2 habe ich das Root-Zertifikat ebenfalls in den lokalen Zertifikatsspeicher importiert. Dazu habe ich in der Suche einfach „zer“ eingegeben und anschießend auf Computerzertifikate verwalten geklickt.

Anschließend mit der rechten Maustaste auf Zertifikate – Lokaler Computer / Vertrauenswürdige Stammzertifizierungsstellen klicken und im Kontextmenü auf Alle Aufgaben -> Importieren klicken.

Auch hier habe ich mir vorher über Webmin das Zertifikat auf den Client heruntergeladen und über den Button Durchsuchen ausgewählt. Danach einfach auf Weiter klicken.

Anschließend habe ich die Option Alle Zertifikate in folgenden Speicher speichern und als Zertifikatsspeicher habe ich Vertrauenswürdige Stammzertifizierungsstellen ausgewählt. Anschließend wieder auf Weiter klicken.

Zum Schluss einfach nur noch auf Fertig stellen klicken.

Die Schritte für den Import in Mozilla Firefox entsprechen denen von CLIENT1 und darum habe ich diese hier nicht mehr aufgeführt.

Anmerkungen zum Browser EDGE

Obwohl ich das selbst signierte Root-Zertifikat zu den vertrauenswürdigen Stammzertifizierungsstellen hinzugefügt habe, weigert sich der Browser EDGE beharrlich dieses auch als sicheres Zertifikat anzuerkennen.

Auf der gleichen Maschine hat Firefox nicht die geringsten Problem mit dem Zertifikat und zeigt dieses als sichere Verbindung an.

Warum dies unter Windows EDGE so ist, habe ich bis dato nicht herausgefunden. Das gleiche Phänomen habe ich auch mit dem Internet Explorer 11. In der Testumgebung stört mich dieses nicht sonderlich und in der produktiven Umgebung werde ich keine selbst signierten Zertifikate verwenden. Das ist aber in jedem Fall ein spannendes Thema und das sollte ich mal im Hinterkopf behalten. Wer die Lösung kennt, darf sie gerne in den Kommentaren hinterlassen. Ich würde mich freuen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.