ctserver.org

2. Teil CA / Zertifikate in Apache integrieren

Die Zertifikate einer eigenen CA (siehe miniHowTo: Eigene CA und Zertifikate erstellen - Teil 1) sollen jetzt in den Apache Webserver integriert werden.

Lokaler Apache - Standardinstallation
Die Zertifikate werden standardmässig unter /etc/apache2/ssl installiert.

Im 1. Teil wurden die Zertifikate für apache erstellt, diese finden sich in den Verzeichnissen certs bzw. private:

Code: Alles auswählen

server:~/sslCA# ls -l certs/ private/
certs/:
insgesamt 8
lrwxrwxrwx  1 root root   14 2005-11-01 21:28 1fc24127.0 -> apacheCert.pem
lrwxrwxrwx  1 root root   13 2005-11-01 21:27 46ecc354.0 -> ../cacert.pem
-rw-r--r--  1 root root 1164 2005-11-01 21:28 apacheCert.pem
-rw-r--r--  1 root root  643 2005-11-01 21:28 apacheReq.pem

private/:
insgesamt 8
-rw-------  1 root root  887 2005-11-01 21:27 apacheKey.pem
-rw-r--r--  1 root root 1743 2005-11-01 21:26 cakey.pem
server:~/sslCA#

Im Verzeichnis certs wurde jeweils ein Link angelegt, der dem Hash-Wert des verlinkten Zertifikates entspricht. Apache sucht Zertifikate zum Teil über diesen Namen. Das File certs/apacheReq.pem ist der Antrag des apache-Zertifikates (das File wird meines Wissens nicht mehr benötigt).
Im Verzeichnis private finden sich die zugehörigen Schlüssel der Zertifikate, hier also apacheKey.pem.

Zertifikate in Apache integrieren

Code: Alles auswählen

server:~/sslCA# mkdir /etc/apache2/ssl/ssl.crt /etc/apache2/ssl/ssl.crl
server:~/sslCA# cp certs/apacheCert.pem private/apacheKey.pem /etc/apache2/ssl
server:~/sslCA# ln -sf apacheCert.pem /etc/apache2/ssl/1fc24127.0
server:~/sslCA# cp cacert.pem /etc/apache2/ssl/ssl.crt/cacert.crt


Die Zertifikate samt der Schlüssel werden in das Apache SSL-Verzeichnis kopiert. Den Hash-Link setzen wir zusätzlich als Link. Das Zertifikat der CA selbst wird in das Unterverzeichnis ssl.crt kopiert. Im Unterverzeichnis ssl.crl werden von Apache später die zurückgezogenen Zertifikate gesucht.

Mit den folgenden SSL-Direktiven (Einträgen im entsprechenden Abschnitt der Konfigurationsdateien) werden die Zertifikate dem Apache bekannt gegeben:

Code: Alles auswählen

...
NameVirtualHost *:443
<VirtualHost *:443>
        ...
        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apacheCert.pem
        SSLCertificateKeyFile /etc/apache2/ssl/apacheKey.pem
        SSLCACertificatePath /etc/apache2/ssl/ssl.crt
        SSLCACertificateFile /etc/apache2/ssl/ssl.crt/cacert.crt
        SSLCARevocationPath /etc/apache2/ssl/ssl.crl
        ...
</VirtualHost>

Diese Einträge habe ich (Standardkonfiguration, z.B. /etc/apache2/sites-enabled/000-default) in die Konfiguration der Default-Site eingefügt, indem ich den vorhandenen <VirtualHost> Abschnitt (für den Standard Port 80) kopiert habe, und dann auf den Port 443 (https) geändert habe.

Nach einem Reload der Konfiguration kann auf die Webseite über https://server.home.local veschlüsselt zugegriffen werden.

Code: Alles auswählen

server:~/sslCA# /etc/init.d/apache2 reload
Reloading web server config...done.
server:~/sslCA#

Zertifikate verifizieren - bzw. im Browser bekanntgeben
Da das Root-Zertifikat unserer CA dem Browser noch nicht als Vertrauenswürdig bekannt ist, wird beim Aufruf der Seite eine Warnung ausgegeben:


Import des CA-Root-Zertifikates in den Browser
Durch den Import des CA-Root-Zertifikates cacert.pem wird unsere eigene CA als vertrauenswürdig eingestuft. Damit entfallen diese Warnungen zukünftig (natürlich in dem Browser, in dem das Zertifikat installiert wurde).

Das macht man den Anwendern am einfachsten, indem man das Zertifikat cacert.pem umbenennt (cacert.crt), und auf der Website zum Download zur Verfügung stellt. In der Standard-Konfiguration ist das z.B. im Verzeichnis /var/www/apache2-default/.

Code: Alles auswählen

server:~/sslCA# cp cacert.pem /var/www/apache2-default/cacert.crt
server:~/sslCA#

Ruft man im Browser diese URL (http://server.home.local/cacert.crt) auf, öffnet sich der Download Dialog. Mit "Öffnen" gelangt man in den Assistenten, der das CA-Root-Zertifikat im Browser installiert.

Weitere Hinweise
Man benötigt für jede mögliche Server-Adresse der URL (Servername/FQDN, Servername kurz oder IP-Adresse) ein eigenes Zertifikat, in welchem der CommonName (CN) auf genau diesen Wert (Servername, IP-Adresse etc.) gesetzt ist. Ansonsten erscheint ebenfalls eine Warnung, das der Servername nicht mit dem Zertifikat übereinstimmt - der 2.te grüne Haken in obigen Bild ist dann ebenfalls ein gelbes Warndreieck.

D.h. dass für einen Apache-Server in einer UML, welcher aus dem Internet z.B. über einen DynDNS Eintrag über den Namen ansprechbar sein soll, ein eigenes Zertifikat mit dem DynDNS-Namen (z.B. ctserver.dyndns.org) ausgestellt sein muss. Da ich den Server auch aus dem LAN ansprechen möchte, erstelle ich zusätzlich je ein Zertifikat mit dem Servernamen, mit dem es aus dem internen LAN angesprochen wird (z.B. dmzserver.home.local oder kurz dmzserver).

Die unterschiedlichen Zertifikate können mit mehreren <VirtualHost> Abschnitten bekannt gegeben werden:

Code: Alles auswählen

NameVirtualHost *:80
<VirtualHost *:80>
...                        # Standard Konfig ohne SSL
</VirtualHost>

NameVirtualHost *:443
<VirtualHost *:443>
        ServerName ctserver.dyndns.org
        ServerAdmin webmaster@ctserver.dyndns.org

        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apacheDYNDNSCert.pem
        SSLCertificateKeyFile /etc/apache2/ssl/apacheDYNDNSKey.pem
        ...
</VirtualHost>

NameVirtualHost *:443
<VirtualHost *:443>
        ServerName dmzserver.home.local
        ServerAdmin webmaster@home.local

        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apacheFQDNCert.pem
        SSLCertificateKeyFile /etc/apache2/ssl/apacheFQDNKey.pem
        ...
</VirtualHost>

NameVirtualHost *:443
<VirtualHost *:443>
        ServerName dmzserver
        ServerAdmin webmaster@home.local

        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/apacheCert.pem
        SSLCertificateKeyFile /etc/apache2/ssl/apacheKey.pem
        ...
</VirtualHost>

Hallo neobiker,

habe ein paar kleiner Probleme. Teil 1 hat wunderbar geklappt. Aber zu Teil 2:

Code: Alles auswählen

...
NameVirtualHost *:443
<VirtualHost *:443>
        ...
        SSLCACertificateFile /etc/apache2/ssl/ssl.crt/cacert.crt
        ...
</VirtualHost>

Bei mir gibt's da nur ein cacert.pem, ist das ein Tipfehler von Dir, oder habe ich was falsch gemacht.

Wenn ich das durch cacert.pem ersetze geht's zumindest.

Die Sache mit dem Hash Link ist mir auch nicht ganz klar:

Code: Alles auswählen

server:~/sslCA# ln -sf /etc/apache2/ssl/1fc24127.0 apacheCert.pem

Den Namen muß ich natürlich an mein eigenes Hash-File anpassen, aber Du machst da doch folgendes:

Du setzt folgenden Link: von ~/sslCA/apacheCert.pem auf /etc/apache2/ssl/1fc24127.0

Ist das wirlich richtig? /etc/apache2/ssl/1fc24127.0 gibt es doch garnicht, oder (1fc24127.0 muß natürlich durch den Namen des eigentlichen Hash-Files ersetzt werden)?

Bei mir gibt es Hash-Files nur im Verzeichnis /etc/sslCA/certs und das sind wiederum nur Links auf die .pem Dateien im gleichen Verzeichnis. Oder habe ich da evtl. in Teil 1 beim Bearbeiten der Konfig-Files einen Fehler gemacht?

Trotz der kleinen Probleme, das Zertifikat für die erste Domain (im weiter nenne ich die Domain mal domain.de) funktioniert.

So weit so gut. Was aber, wenn ich mehr als 1 Zertifikat einsetze?

Ich brauche ein zweites für squirrelmail.
Das Zertifikat nennt sich webmail, die Domain ist webmail.domain.de.

Das Zertifikat habe ich erstellt und die Files kopiert:

Code: Alles auswählen

cp certs/webmailCert.pem private/webmailKey.pem /etc/apache2/ssl


Was mache ich mit den beiden Zeilen:

Code: Alles auswählen

server:~/sslCA# ln -sf /etc/apache2/ssl/1fc24127.0 apacheCert.pem
server:~/sslCA# cp cacert.pem /etc/apache2/ssl/ssl.crt/

Nachdem ich ja schon beim ersten Zertifikat etwas Probleme mit dem Link hatte, stellt sich hier auch die Frage was wo hin linken?

Und muß ich cacert.pem nochmal kopieren? So weit ich das sehe, hat sich die Datei nicht verändert...

Die Apache-Konfig habe ich entsprechend erweitert:

Code: Alles auswählen

<VirtualHost *:443>
        ServerName webmail.domain.de
        ServerAdmin webmaster@home.local

        SSLEngine on
        SSLCertificateFile /etc/apache2/ssl/webmailCert.pem
        SSLCertificateKeyFile /etc/apache2/ssl/webmailKey.pem
        SSLCACertificatePath /etc/apache2/ssl/ssl.crt
        SSLCACertificateFile /etc/apache2/ssl/ssl.crt/cacert.pem
        SSLCARevocationPath /etc/apache2/ssl/ssl.crl

        SetEnvIf User-Agent ".*MSIE.*" \
        nokeepalive ssl-unclean-shutdown \
        downgrade-1.0 force-response-1.0

        DocumentRoot /usr/share/squirrelmail
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /usr/share/squirrelmail>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>

        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
         ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog /var/log/apache2/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog /var/log/apache2/access.log combined
        ServerSignature On
</VirtualHost>


Prinzipiell komme ich auch mit https://webmail.domain.de da hin wo ich hin wollte, aber apache nimmt immer noch das Zertifikat für domain.de (ja, apache wurde neu gestartet und bringt keine Fehlermeldungen).

Irgend eine Idee, was ich falsch gemacht habe?

melwood

Ist tatsächlich ein kleiner Fehler, hab das im HowTo ausgebessert.

Ändere z.B. einfach den Namen des Root-Zertifikates von cacart.pem in cacert.crt ab.
-> Die Endung .crt braucht man für den Import in den (IE-)Browser (stand zumindest in der Anleitung, vielleicht geht's mittlerweilse auch mit .pem, hab's gar nicht erst probiert!). Dem Apache ist es egal, wie Du das Zertifikat benannt hast.

Mein Apache-SSL-Vz. in der DMZ sieht also so aus:

Code: Alles auswählen

dmz1:/etc/apache2/ssl# l
total 14
lrwxrwxrwx  1 root root   21 Nov  1 21:08 83069047.0 -> apachedmzFQDNCert.pem
lrwxrwxrwx  1 root root   14 Nov  1 21:10 904ad247.0 -> apacheCert.pem
-rw-r--r--  1 root root 1814 Nov  1 21:11 apacheCert.pem
-rw-r--r--  1 root root 1842 Nov  1 21:08 apacheDYNDNSCert.pem
-rw-------  1 root root 1675 Nov  1 21:08 apacheDYNDNSKey.pem
-rw-------  1 root root 1679 Nov  1 21:12 apacheKey.pem
-rw-r--r--  1 root root 1838 Nov  1 21:07 apachedmzFQDNCert.pem
-rw-------  1 root root 1675 Nov  1 21:07 apachedmzFQDNKey.pem
lrwxrwxrwx  1 root root   20 Nov  1 21:09 ef307538.0 -> apacheDYNDNSCert.pem
drwxr-xr-x  2 root root 1024 Nov  1 07:38 ssl.crl/
drwxr-xr-x  2 root root 1024 Nov  1 13:11 ssl.crt/
dmz1:/etc/apache2/ssl# l ssl.crt/
total 3
-rw-r--r--  1 root root 2151 Nov  1 13:04 cacert.crt
dmz1:/etc/apache2/ssl#

Das beantwortet wohl auch Deine Frage nach den Links / Hash usw.
-> natürlich im Apache-SSL-Vz. der Zielmaschine (nicht da, wo Du die Zertifikate erstellt hast)!

Mal sehen, was Du noch brauchst...mom...

In meinem Listing oben siehst Du auch die Antwort wg. Squirrelmail...

Bei mir hab ich das Zertifikat apacheDYNDNSCert.pem genannt, da steht der offizielle Internet-Name (bei dyndns.org) im Zertifikat. Ich hab zusätzlich noch apacheFQDNCert.pem - ist ein Zertifikat mit meinem LAN-FQDN (z.B. dmz1.neobiker.de).

Es gibt nur ein (!) Root-Zertifikat cacert.crt, das hat alle anderen Host-Zertifikate (apacheXXXXCert.pem) unterschrieben!

Prinzipiell komme ich auch mit https://webmail.domain.de da hin wo ich hin wollte, aber apache nimmt immer noch das Zertifikat für domain.de (ja, apache wurde neu gestartet und bringt keine Fehlermeldungen).

Irgend eine Idee, was ich falsch gemacht habe?

Du musst den Test natürlich über das Internet fahren -> d.h. sicherstellen, dass Deine Anfrage auch mit der Internet-IP beim apache kommt. Aus dem LAN selber klappt das evtl. nicht, wg. IPCop und internem routing etc.

melwood hat geschrieben:Prinzipiell komme ich auch mit https://webmail.domain.de da hin wo ich hin wollte, aber apache nimmt immer noch das Zertifikat für domain.de (ja, apache wurde neu gestartet und bringt keine Fehlermeldungen).

Irgend eine Idee, was ich falsch gemacht habe?

melwood

Hast Du vielleicht Deine Links falsch gesetzt? Der Apache liest das Zertifikat, auf welches der zugehörige Hash-Wert verlinkt ist!
Möglich wäre, dass der Hash-Wert für webmail.domain.de auf das Zertifikat von domain.de zeigt...

neobiker hat geschrieben:Das beantwortet wohl auch Deine Frage nach den Links / Hash usw.
-> natürlich im Apache-SSL-Vz. der Zielmaschine (nicht da, wo Du die Zertifikate erstellt hast)!

Dann ist aber Dein Befehl für den Softlink falsch! Müsste dann irgendwie so aussehen (aktuellen Pfad beachten):

linus:/etc/apache2/ssl# ln -sf apacheCert.pem 1707989d.0

neobiker hat geschrieben:
In meinem Listing oben siehst Du auch die Antwort wg. Squirrelmail...

Bei mir hab ich das Zertifikat apacheDYNDNSCert.pem genannt, da steht der offizielle Internet-Name (bei dyndns.org) im Zertifikat. Ich hab zusätzlich noch apacheFQDNCert.pem - ist ein Zertifikat mit meinem LAN-FQDN (z.B. dmz1.neobiker.de).

Prinzipiell komme ich auch mit https://webmail.domain.de da hin wo ich hin wollte, aber apache nimmt immer noch das Zertifikat für domain.de (ja, apache wurde neu gestartet und bringt keine Fehlermeldungen).

Irgend eine Idee, was ich falsch gemacht habe?

Du musst den Test natürlich über das Internet fahren -> d.h. sicherstellen, dass Deine Anfrage auch mit der Internet-IP beim apache kommt. Aus dem LAN selber klappt das evtl. nicht, wg. IPCop und internem routing etc.

Das SquirrelMail Problem betseht aber immer noch... komisch... na ja, werde nachher nochmal ein Zertifikat erstellen, nicht das ich da evtl doch den falschen Domainnamen angegeben habe. Kann ich mir den Inhalt des Zertifikates irgendwie über die Shell ausgeben lassen?

melwood

...hab den ln -s Befehl umgedreht...

neobiker hat geschrieben:Hast Du vielleicht Deine Links falsch gesetzt? Der Apache liest das Zertifikat, auf welches der zugehörige Hash-Wert verlinkt ist!
Möglich wäre, dass der Hash-Wert für webmail.domain.de auf das Zertifikat von domain.de zeigt...

Nein, die Softlinks sind jetzt alle richtig...

melwood

So, ich hab jetzt endlich mal etwas rumprobiert - melwood scheint recht zu haben, es wird nur das erste Zertifikat angezogen.

EDIT: Ich habe folgendes probiert, aber das geht leider auch nicht wie gewünscht

...anstatt des "*" den Namen auch in die VirtualHost Directive reinnimmt, also z.B.

Code: Alles auswählen

NameVirtualHost *:443
<VirtualHost webmail.domain.de:443>
        ServerName webmail.domain.de
...
</VirtualHost>
<VirtualHost webmail.zuhause.xx:443>
        ServerName webmail.zuhause.xx
...
</VirtualHost>
<VirtualHost *:443>     # der Rest ...
        ServerName webmail
...
</VirtualHost>

Die Apache-Doku hatte ich anders gelesen - sorry.

Gibt's hier nicht nen apache-profi ?
Das Problem:
Einem Apache-Server für eine Site abhängig von der aufgerufenen IP-Adresse oder dem Namen ein unterschiedliches Zertifikat anziehen lassen...

...jetzt nimmt er immer das erste, welches passt (* oder Name-IP Auflösung)

Ein Workaround wäre aktuell nur, mehrere IP-Adressen (auf einer NW-Karte) zu nutzen... geht's nicht anders?

neobiker hat geschrieben:So, ich hab jetzt endlich mal etwas rumprobiert - melwood scheint recht zu haben, es wird nur das erste Zertifikat angezogen.

Also ich glaube, man braucht dafür verschiedene IP-Adressen. Hab mich damit mal eine Weile beschäftigt, aber keine Lösung gefunden. Allerdings bin ich auch kein Apache Profi...

melwood

Hallo,

bin auch kein Apache Profi, aber:

Man braucht grundsätzlich für jedes Zertifikat eine IP. Das kann natürlich auch eine IP an einer virtuellen Schnittstelle sein wie z. B. eth0:1.
Aber wozu zwei unterschiedliche Zertifikate an einem Server? Ich meine, sicher ist es doch auch mit dem einen Zertifikat. Wenns nicht um die Optik für Kunden geht (der Name des Zertifikates soll zum "eigenen" Webserver passen), tut es das eine Zertifikat doch auch.
Das "grundsätzlich" steht da oben, weil man in den Zertifikaten auch Alternative Namen angeben können soll und damit soll auch die Notwendigkeit der zusätzlichen IP Adressen entfallen. Da kenne ich mich aber nicht aus.

Anlegen einer virtellen Schnittstelle eth0:1 mit IP 192.168.0.8:

Code: Alles auswählen

/sbin/ifconfig eth0:1 192.168.0.8

So siehts dann im Apache aus:

Code: Alles auswählen

<VirtualHost 192.168.0.8:443>
            ServerName webmail.site
            [... normale Optionen ...]
            SSLEngine on
            SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
            SSLCertificateFile /etc/apache2/ssl.crt/cert.crt
            SSLCertificateKeyFile /etc/apache2/ssl.key/server.key


Ohne Gewähr, da ungetestet von einem SuSE Server.

Chris