ubuntuusers.de

Wiki

ssl-cert

Hinweis: Dies ist ein statischer Snapshot unseres Wikis vom März 25, 2017 und kann daher nicht bearbeitet werden. Der aktuelle Artikel ist unter wiki.ubuntuusers.de zu finden.

Wiki

Mitmachen

Konfiguration

ssl-cert

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

  1. Installation von Programmen

  2. Ein Terminal öffnen

  3. Root-Rechte erlangen

  4. Einen Editor verwenden

Inhaltsverzeichnis
  1. Installation
  2. Nutzung
  3. Problembehebung
  4. Links

Wiki/Icons/security.png Möchte man die verschlüsselten Protokolle wie HTTPS, IMAPS oder POP3S nutzen, so benötigt man ein SSL-Zertifikat einer CA (Certification Authority). Eigentlich muss solch ein Zertifikat von Firmen oder Organisationen ausgestellt werden, die dafür autorisiert sind. Doch für Testzwecke oder die private Nutzung reicht oft auch ein selbstgeneriertes Zertifikat. Dieses wird durch den Befehl ssl-cert auf dem Rechner erstellt. Allerdings kann der praktische Einsatz durch kleinere Probleme getrübt sein.

Installation

Experten-Info:

Anfang April 2014 ist der Heartbleed-Bug (CVE-2014-0160) in OpenSSL bekannt geworden. Leider hat sich Canonical entscheiden, bis einschließlich Ubuntu 14.04 nicht die aktualisierte Version 1.0.1g oder neuer zu nutzen, sondern nur die Pakete in den offiziellen Paketquellen zu patchen. Seit dem 7. April 2014 stehen diese als Update zur Verfügung. Man sollte sich daher nicht durch die scheinbar betroffene Versionsnummer des Pakets täuschen lassen.

Allerdings wird empfohlen, vor diesem Datum mit Ubuntu 12.04 oder neuer erstellte Zertifikat zu verwerfen und neue zu erstellen.

Durch die Installation [1] des folgenden Pakets wird das Zertifikat sofort erzeugt:

  • ssl-cert

Wiki/Vorlagen/Installbutton/button.png mit apturl

Paketliste zum Kopieren: 

sudo apt-get install ssl-cert 

sudo aptitude install ssl-cert

Nutzung

Man kann diesen Vorgang auch später durch folgenden Befehl wiederholen [2][3]:

sudo make-ssl-cert generate-default-snakeoil

Die dadurch generierten Dateien werden sofort in die SSL-Schlüssel aufgenommen:

SSL-Zertifikat /etc/ssl/certs/ssl-cert-snakeoil.pem
SSL-Schlüssel /etc/ssl/private/ssl-cert-snakeoil.key

und können dort beispielsweise von Serveranwendungen genutzt werden.

SSL-Zertifikate erneuern

Sollte sich der Rechnername ändern oder das Zertifikat ablaufen, so kann man durch den Befehl:

sudo make-ssl-cert generate-default-snakeoil --force-overwrite

ein neues Zertifikat erzeugen. Damit das neue Zertifikat verwendet wird, müssen die entsprechenden Dienste neu gestartet werden.

Problembehebung

Wenn ein Zertifikat über die obigen Schritte erneuert wurde (force-overwrite), ist darauf zu achten, dass im Zertifikat der richtige Rechnername eingetragen wird. ssl-cert setzt diesen als CommonName des Zertifikates ein. Der Name kann im laufenden Betrieb mittels des Befehls:

sudo hostname NEUER_NAME

geändert (die Datei /etc/hostname wird nur beim Systemstart gelesen) oder einfach nur mit hostname ausgelesen werden.

Danach wird versucht, diesen Hostname aufzulösen (mittels /etc/hosts, DNS, etc). Wenn ssl-cert den Namen nicht auflösen kann, bekommt man eine Fehlermeldung, dass der Hostname kein gültiger FQDN ist.

Diese Revision wurde am 27. Februar 2017 15:51 von VolkerRaschek erstellt.

  1. Wiki
  2. ssl-cert