Apache logo

Installation des TLS-Zertifikats auf den Apache-Server

Diese Anleitung zeigt Ihnen, wie man auf dem Apache-Server mit Hilfe der freien Software OpenSSL, die sich für alle Server nutzen lässt, einen öffentlichen Schlüssel erstellt und das neu ausgestellte TLS-Zertifikat installiert.

Erstellung des öffentlichen Schlüssels auf dem Apache-Server (OpenSSL)

Zur Generierung des Zertifikatsantrags (öffentlichen Schlüssels) und Privatschlüssels wird die Software OpenSSL benutzt, die Sie meistens unter /usr/local/ssl/bin finden.

Im ersten Schritt erzeugen Sie das Schlüsselpaar (key pair). Schreiben Sie in die Kommandozeile ein:

openssl genrsa –des3 –out www.mydomain.com.key 2048

Dank dem Parameter "-des3" ist es möglich, eine Passphrase für den Privatschlüssel zu erstellen; falls Sie diesen Parameter nicht benutzen, bleibt der Privatschlüssel ungeschützt.

Im zweiten Schritt erstellen Sie den CSR. CSR mit dem privaten Schlüssel können Sie auch in Ihrer SSLmarket-Verwaltung erstellen und den privaten Schlüssel für die spätere Installierung speichern.

openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr

Danach sind die konkreten Angaben zum CSR einzuschreiben. Geben Sie die Daten ohne Umlaute an:

Common Name: Als Common Name wird die Domain bezeichnet, für welche das TLS-Zertifikat ausgestellt wird.
Company / Organization: Schreiben Sie den ganzen Namen der Organisation ein, sowie es im Handelsregister steht, einschließlich ihrer Rechtsform.
Organizational Unit: Dies ist kein Pflichtfeld. Es wird für eine Abteilung oder Niederlassung der Organisation genutzt.
Locality / City: Stadt
State / Province: Geben Sie Schweiz an
Country Name: Staatscode, CH

Beispiel eines richtig ausgefüllten CSR

Zum CSR schreiben Sie keine E-Mailadresse, Passwort oder optional company name zu. OpenSSL wird eine CSR-Datei erstellen, die Sie Ihrer Bestellung des TLS-Zertifikats im SSLmarket.ch hinzufügen.

Installierung des ausgestellten Zertifikats auf den Server

Erste Schritte

Falls Sie das Zertifikat auf einen Server installieren, wo die Konfiguration von Apache bisher nicht angepasst wurde, aktivieren Sie zuerst HTTPS und die Default-Site für die TLS-Verbindung. Ohne diese zwei Basis-Schritte würde HTTPS überhaupt nicht funktionieren.

Geben Sie in das Terminal ein: sudo a2enmod ssl Dadurch wird HTTPS aktiviert.
Danach aktivieren Sie die Default-Site für die abgesicherte Verbindung, sonst wird Apache nur die Default-Site mit HTTP nutzen: sudo a2ensite default-ssl Starten Sie Apache neu, damit der Server HTTP sowie HTTPS nutzen kann. systemctl restart apache2

Zertifikat und Intermediate speichern

Das ausgestellte TLS-Zertifikat wird Ihnen per E-Mail zugestellt. Das Zertifikat erhalten Sie in einem im Format Base64 kodierten Textformat. Die von uns zugesendete Datei linux_cert+ca.pem speichern Sie oder kopieren Sie sie auf den Server.

In der Datei linux_cert+ca.pem ist das Zertifikat für die Domain sowie das Intermediate Zertifikat enthalten. In einer Datei sind sie deshalb zusammen gespeichert, weil die Webserver die Zertifikate zusammen erfordern und weil wir Ihnen die einzelnen Schritte ersparen möchten. Das Intermediate Zertifikat schafft die Vertrauenswürdigkeit des Zertifikats auf den Client-Geräten, Sie brauchen es aber nicht auszusuchen und in die Konfiguration zu ergänzen.

Konfiguration des VHost

Damit das gelieferte Zertifikat genutzt werden kann, muss die Konfiguration des virtuellen Host für die gegebene Domain angepasst werden. Für das Editieren öffnen Sie die Konfigurationsdatei default-ssl.conf (oder domain-ssl.conf) (sie sollte in /etc/apache2/sites-enabled platziert sein, falls nicht, kehren Sie zu dem Abschnitt Erste Schritte zurück) und in den folgenden zwei Direktiven passen Sie den Speicherort der Dateien mit dem privaten Schlüssel und mit dem Zertifikat an, die genutzt werden sollen:

  • SSLCertificateFile /etc/ssl/private/linux_cert+ca.pem
  • SSLCertificateKeyFile /etc/ssl/private/private.key
Die früheren Versionen von Apache haben die Direktive SSLCertificateChainFile unterstützt. Seit der Version 2.4.8 wird sie aber nicht mehr genutzt und deshalb können Sie sie löschen oder auskommentieren. Das Intermediate ist in der Datei mit dem Zertifikat vorhanden, wie wir oben erwähnt haben. Die Direktive SSLCACertificateFile dient dann nur für Client-Zertifikate und deshalb können Sie sie für das TLS-Zertifikat ignorieren.

Die Datei speichern Sie. Vor dem Neustart können Sie die Richtigkeit der Konfiguration mit dem folgenden Kommando überprüfen: sudo apache2ctl configtest Schließlich starten Sie Apache neu: sudo systemctl restart apache2

Beispiel der Server-Konfiguration

Auf dem Webserver Apache werden die aktivierten und genutzten Konfigurationen in den Ordner /etc2/apache2/sites-enabled gespeichert. Hier führen wir ein typisches Beispiel der Server-Konfiguration in der Datei default-ssl.conf auf: SSLEngine on
SSLCertificateFile /etc/ssl/private/domain.pem
SSLCertificateKeyFile /etc/ssl/private/domain.key

Falls Sie sich die Konfiguration des Webservers erleichtern möchten, nutzen Sie moz://a SSL Configuration Generator. Das Tool wird Ihnen eine richtige Einstellung für die Absicherung des Webservers empfehlen.

Die Richtigkeit der Installierung des TLS-Zertifikats können Sie mit unserem Tool überprüfen.


Pomoc s SSL certifikáty

Überfordert mit Informationen?

Schreiben Sie uns
info@sslmarket.ch
Kontaktformular
Rufen Sie uns an
089 - 954571 38
War für Sie dieser Artikel nützlich?