Mastershrimp: Verständnisfrage bzgl. Einrichtung von SSL-Zertifikat (Apache)

Beitrag lesen

Hallo dedflix!

Danke für deine ausführliche Antwort!

Konkret geht es mir darum, eine nach allgemeinem Ermessen vernünftige Konfiguration aufgesetzt zu haben. Anders formuliert: Dass ich nicht in Anfänger-Fallen gestolpert bin und grundlegende Sachen übersehen habe.

Ich möchte mit dem Zertifikat übrigens die Verbindung zu einer Webanwendung verschlüsseln.

Ich schließe aus deiner Antwort, dass mein Vorgehen im Großen und Ganzen OK ist. Zumindest nichts, wo der fortgeschrittene Admin laut aufschreien würde :)

Noch kurz ein paar Anmerkungen:

Allem Anschein nach. Was ich zu PKCS #12 gelesen habe, ist das ein Paket-Format für Zertifikate und Schlüssel. Das eigentliche Zertifikat ist also darin enthalten.

Ja, das macht Sinn. Mir sagte das Format vorher auch nicht wirklich etwas.

Also bin ich zunächst hingegangen und habe das p12 in crt umgewandelt:

Das ist keine sinnvolle Kausalität. Ein Grund für das Umwandeln ist wohl eher, dass der Apache nichts mit dem Containerformat anfangen kann und die Zertifikatsdateien ausgepackt benötigt.

Ja, das meinte ich damit ;)

Die Apache-Doku ist auch nicht unbedingt ein Fan der Passphrase. Das erschwere wohl einen automatischen Start des Servers, weil die Passphrase einzugeben ist. Da ist quasi trotz erhöhtem Risiko die Empfehlung, auf eine Passphrase im Schlüssel zu verzichten.
[...]
Das würde ich als Admin abseits von hochsicherheitsrelevanten Systemen nicht wollen, weil damit immer eine händische Aktion beim Starten verbunden ist. In dem Fall, meine ich, sollte man auch einen 24-Stunden-Service haben, der das System überwacht und gegebenenfalls eingreifen kann. Selbst die beiden anderen Optionen neben "builtin" bringen keine zusätzliche Sicherheit - im Gegenteil. Die angefragten Programme müssen die Passphrase einfach so auf eine simple Anfrage rausrücken.

Ich bin mir nicht sicher, ob ich das verstanden habe. So wie ich das sehe, braucht der Apache die PassPhrase um das Zertifikat entschlüsseln und somit verwenden kann. Die PassPhrase kann er entweder manuell durch eine Eingabe des Admins bekommen (das wäre dieser PassPhraseDialog). Oder er bezieht sie automatisch aus dem .key-File.

Ich hatte mich für die .key-Lösung entschieden, weil der Dialog von der Windows-Version des Apaches nicht unterstützt wird (da bekam ich in den Logs einen entsprechenden Fehler). Deshalb habe ich den Parameter auch auskommentiert (wurde so auch in einem Tutorial empfohlen).

Gäbe es auch einen Weg, der völlig ohne PassPhrase auskommt? Das wäre dann aber unsicherer, oder?
Hätte ich eine .key-Datei auch aus dem Container PKCS12 bekommen können?

Ein Auskommentieren sollte keine Änderung bringen, denn builtin ist der Default-Wert von SSLPassPhraseDialog.

Das ist gut möglich. Da hatte ich mich an ein Tutorial gehalten, das diesen Schritt empfahl.

Die Alternative zu RSA ist wohl nur DSA und da DSA von einer US-Regierungsorganisation entwickelt wurde, darf man DSA gegenüber ruhig auch skeptisch sein. Ob dann für dich nur RSA übrig bleibt, musst du selbst entscheiden. Wenn ich das recht sehe, gibt es keine Alternative zu den beiden Verfahren.

Ok, vielen Dank! Ich laufe halt ungern mit Default-Werten los, ohne sie zu hinterfragen. Aber dann ist RSA wohl ausreichend für meine Zwecke.