Zertifikat in der Konsole nach Wiki Frage

[Fraggle]

Hallo zusammen,

heute abend wollte ich mich daran machen ein eigenes SSL-Zertifikat zu erstellen und dazu anhand der Anleitung im Wiki vorgehen.
Im vorfeld ergebibt sich dabei eine bzw. zwei Fragen:

Unter Vorbereitung steht:

Dort erstellt man zunächst drei Konfigurationsdateien:
vi ca.config mit genau folgendem Inhalt:

(Hier noch keine genauen Angaben machen, das erfolgt erst später)

Heißt dies, daß in dieser Datei eben keine Namen angegeben werden?
Nimmt man diese Angaben dann in der server.config vor?

Besten Dank.

 

[Benares]

Das bedeutet nur, dass du den Inhalte 1:1, ohne ihn zu ändern, in die Dateien ca.config bzw. server.config übernehmen sollst, am besten per Cut&Paste.

 

[Fraggle]

Ok, dann wird irgendwann nach dem den letzten Schritten nach den richtigen Angaben gefragt, oder?
Diese Info fehlt leider im Wiki

 

[Benares]

Die Fragen kommen bei der Ausführung der openssl-Befehle. Nein, das steht leider nicht im Wiki, auch Empfehlungen für die Antworten nicht.

 

[Fraggle]

Alles klar. Danke für die schnelle Hilfe.

 

[Mike0185]

Vielleicht hilft dir das noch... ist eine komplette Schritt-für-Schritt-Anleitung.


Gruß Mike

 

[Fraggle]

Besten Dank Mike. Die Wiki-Anleitung hat wunderbar geklappt. Lediglich die beiden Fragen hatte ich. Es läuft auch alles bereits

 

[Trolli]

Vielleicht kannst Du das Wiki bitte an den Punkten, an denen Du Schwierigkeiten hattest, ergänzen. Das würde sicher anderen später sehr helfen...

 

[Puppetmaster]

Ich kann nicht anders und muss hier auch nochmal querfragen: Warum macht man das? Also sich ein Zertifikat basteln? - Die Frage meine ich ernst!
Außer, dass in den Browsern wo ich das Zertifikat vorher eingebaut habe kein Sicherheitshinweis mehr kommt habe ich doch überhaupt nichts davon...!?
Oder kann mich hier einer eines besseren belehren?

 

[Mike0185]

Ich kann nicht anders und muss hier auch nochmal querfragen: Warum macht man das? Also sich ein Zertifikat basteln? - Die Frage meine ich ernst!
Außer, dass in den Browsern wo ich das Zertifikat vorher eingebaut habe kein Sicherheitshinweis mehr kommt habe ich doch überhaupt nichts davon...!?
Oder kann mich hier einer eines besseren belehren?

Gute Frage! Würde mich ehrlich gesagt auch interessieren. Ich hatte zu erst auch ein selbstsigniertes und bin dann schnell zu StartSSL gewandert um mir ein "richtiges" ausstellen zu lassen.

 

[Puppetmaster]

Gute Frage! Würde mich ehrlich gesagt auch interessieren. Ich hatte zu erst auch ein selbstsigniertes und bin dann schnell zu StartSSL gewandert um mir ein "richtiges" ausstellen zu lassen.

Danke!
Aber ob nun selbstsigniert oder "richtig" - auch das macht doch keinen Unterschied.
Was gewinne ich, wenn ich das Zertifikat immer noch in den Browser des Clients einbauen muss?

 

[Mike0185]

Naja mit einem "richtigen" musst du keines mehr einbauen / importieren. Meine Seite wird von 99,...% der Besucher sofort ohne Warnung mit einem (grünen) Schloss angezeigt und als "vertrauenswürdig" eingestuft.

 

[Trolli]

Ich kann nicht anders und muss hier auch nochmal querfragen: Warum macht man das? Also sich ein Zertifikat basteln? - Die Frage meine ich ernst!
Außer, dass in den Browsern wo ich das Zertifikat vorher eingebaut habe kein Sicherheitshinweis mehr kommt habe ich doch überhaupt nichts davon...!?
Oder kann mich hier einer eines besseren belehren?

Genau das ist der Grund. Je nach Nutzerkreis wirkt die Zertifikatwarnung doch sehr irritieren. Auf der anderen Seite möchte man ja schon, dass die Nutzer HTTPS verwenden. Wenn man nun über einen beschränkten Nutzerkreis verfügt, ist es kein Problem den betreffenden Leuten das eigene Zertifikat zukommen zu lassen. Natürlich spricht auch nichts gegen ein 'richtiges' Zertifikat.

 

[Puppetmaster]

Meine Seite wird von 99,...% der Besucher sofort ohne Warnung mit einem (grünen) Schloss angezeigt und als "vertrauenswürdig" eingestuft.

Ok, ich dachte, selbst ein Zertifikat von StartSSL wird von den gängigen Browsern angemosert.
Wenn dem nicht so ist, dann bringt es natürlich etwas.
Aber StartSSL ist nicht kostenfrei, oder?

 

[Frogman]

Das 1-Jahres-Class1-Zertifikat ist kostenlos - muss dann halt jährlich erneuert werden. Zertifikate mit längerer Laufzeit und mehr Funktionalität gibt's gegen (kleines) Geld.

 

[Mike0185]

Ok, ich dachte, selbst ein Zertifikat von StartSSL wird von den gängigen Browsern angemosert.
Wenn dem nicht so ist, dann bringt es natürlich etwas.
Aber StartSSL ist nicht kostenfrei, oder?

Nein wird nicht angemosert. Ist in den gängigsten Browsern als Root-Zertifikat hinterlegt. Selbst auf Android-Handys, Tablets und Apple funktioniert es ohne Probleme und Fehler- bzw. Warnmeldung. Das Class 1 Zertifikat ist kostenlos und ein Jahr gültig. Es kann nicht verlängert werden, man kann aber einfach ein neues erstellen und wieder einbinden.

Schaust du hier.


Gruß
Mike

 

[Fraggle]

@ Trolli:
Ist in Arbeit und in wenigen Minuten fertig.

@darunter:
Ganz einfach deswegen, damit der eigene Name zu lesen ist. Wenn ich Freunden Zugriff auf z.B. FTP-Ebene gebe, waren sie verwundert und irritiert, weil sie mit dem Hersteller nichts anfangen konnten. So sehen sie dann, daß alles ok ist.

 

[Puppetmaster]

Schaust du hier.

Bedingung ist, "dass Sie Ihre vollen und korrekten persönlichen Angaben beim Einschreiben zur Verfügung stellen ..."
Hm, ok. Da stellt sich mir dann die Frage: wer prüft das?

 

[Frogman]

Eine Anmerkung noch: StartCom ist eine israelische Firma mit Connections in die Staaten - im Kontext der Diskussionen um einen geforderten Zugriff auf SSL-Kommunikation wird man sich zukünftig - bei wirklich vertraulichen Daten - durchaus fragen müssen, bei wem ich mir ein Zertifikat ausstellen lasse oder ob dann nicht ein selbsterzeugtes/selbstsigniertes vertrauenswürdiger ist.

 

[Fraggle]

@Trolli:

Wiki updated.

@Frogman:
Sehe ich auch so