Mastershrimp: Verständnisfrage bzgl. Einrichtung von SSL-Zertifikat (Apache)

Beitrag lesen

Hallo dedlfix!

Vielen Dank nochmal für die ausführliche Antwort! Echt interessant!
Einen groben Plan von SSL und asymmetrischer Verschlüsselung hatte ich bereits - dennoch danke für den Link :)

Ich sehe halt nur bei den diversen Konfigurationsmöglichkeiten die Gefahr, dass ich zwar einen funktionierenden Weg wähle, der aber in seinem Design nicht unbedingt sicher ist. Deshalb wollte ich das noch einmal absegnen lassen, wie schon gesagt.

Nun kommt auch noch die PKCS#12-Geschichte mit ins Spiel, für die ich jedoch keine Erfahrungswerte habe. Ich denke, dass du, um dieses Paket aufzuschließen, eine Passphrase/-wort/wasimmer brauchst. Du solltest aber keine neue für den private Key eingeben.

Ja, ich brauchte beides. Ich musste bei der Umwandlung von .p12 in .crt zuerst das Passwort des Containers angeben (1x). Danach wurde ich nach dieser PEM-PassPhrase gefragt, die ich erstellen (und somit 2x eingeben) musste.
Ich denke mittlerweile, dass ersteres zum Aufschließen des Containers gedacht ist, und zweiteres für die Verschlüsselung der .crt-Datei. Ich konnte diese PEM-PassPhrase auch nicht leer lassen. Sie muss mindestens 4 Zeichen lang sein, glaube ich.

Zur Verwendung der verschlüsselten .crt-Datei braucht der Server den Key, vermutlich. Daher muss ich im zweiten Schritt den .key für das zuvor generierte .crt-Zertifikat generieren. Und um im Zuge dessen auf das Zertifikat zugreifen zu können, musste ich erneut die PassPhrase angeben. Damit konnte OpenSSL dann das Zertifikat entschlüsseln und den Key generieren.

Der Apache bekommt nun beides: .key und .crt. Mit dem .key entschlüsselt er (wann immer er es braucht) das .crt. Und daher ist auch keine Eingabe der PassPhrase mehr nötig, weil die aus der Datei kommt.

Soweit mein Verständnis. Aber das basiert nur auf Beobachtungen und ist letztendlich komplett geraten :D

Macht das denn grob Sinn?