[GELÖST]CAcert.org Zertifikat einbinden

[GELÖST]CAcert.org Zertifikat einbinden - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Archiv (/forum-54.html)
+---- Thread: [GELÖST]CAcert.org Zertifikat einbinden (/thread-9586.html)

Pages: 1 2

[GELÖST]CAcert.org Zertifikat einbinden - nex89 - 02-12-2010 08:52 AM

Hallo,

ich habe mir ein SSL Zertifikat von CAcert.org erstellt und habe es in eine .pem Datei im Ordner /etc/ssl/certs gepackt...
Die sieht nun so ähnlich aus:

Quote:-----BEGIN CERTIFICATE-----
hbhbHBhBgVCFGCGHvHbhjnjNJNjvghCFvhgh....................
-----END CERTIFICATE-----

Nun würde ich gerne wissen, wie ich da weiter vorgehen muss um das SSL Zertifikat für folgende Dienste verwenden zu können:
1) in Apache2
2) Postfix
3) Courier IMAP
4) proFTPd

Habe gerade schon ca. 1 Stunde google benutzt, aber keine passende Antwort finden können. Habe auch die HowTos hier in der Wiki gesehen, jedoch wird da nicht auf fertige Zertifikate eingegangen.

Vielen Dank für euere Hilfe im vorraus!

RE: CAcert.org Zertifikat einbinden - Knut - 02-12-2010 04:09 PM

(02-12-2010 08:52 AM)nex89 Wrote: Habe gerade schon ca. 1 Stunde google benutzt, aber keine passende Antwort finden können. Habe auch die HowTos hier in der Wiki gesehen, jedoch wird da nicht auf fertige Zertifikate eingegangen.

Dann lass den Teil mit dem erstellen der Zertifikate aus und schau Dir den Part mit der Einbindung an.
Bei meinem Cert-Anbieter gab es auch eine sehr gute FAQ um das Cert in die entsprechenden Produkte einzubinden. Sowas gibt es bei CAcert bestimmt auch.

Knut

RE: CAcert.org Zertifikat einbinden - nex89 - 02-12-2010 05:58 PM

habe aber leider keine anleitung auf der herstellerseite gefunden und habe noch nie irgrndwas mit zertifikaten gemacht deshalb ist es
sehr schwer für mich das ohne anleitung zu verstehen:/

wäre nett wenn mir da einer weiterhelfen könnte!

RE: CAcert.org Zertifikat einbinden - Knut - 02-12-2010 09:06 PM

Im Wiki ists aber sehr gut beschrieben.
http://www.isp-control.net/documentation/doku.php?id=howto:security:create_your_own_ssl_ca_and_secure_multiple_services

Musst ja nur das Erstellen der Certs jeweils weg lassen. Die Konfiguration der einzelnen Dienste ist ja auch beschrieben (... und damit habe ich es bei mir auch schon erstellt)

Knut

EDIT: Gleiches Thema im englischen Teil : http://www.isp-control.net/forum/thread-9169.html
Da hast Du schon mal die Anleitung für den Apachen. Die weiteren Dienste sind genauso einfach.

RE: CAcert.org Zertifikat einbinden - nex89 - 02-12-2010 11:25 PM

Ich weiß nicht wieso, aber jetzt klappt es merkwürdigerweise nach der Anleitung..muss vorher immer was falsch gemacht haben! Habe aber jetzt mein eigenes Zertifikat erstellt und nicht das von CACert.org.

Allerdings habe ich eine Frage.

Meine /etc/apache2/sites-available/01_ssl_master.conf sieht so aus:

Quote:<VirtualHost 88.198.182.xx:443>

SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.cert.pem
SSLCertificateKeyFile /etc/apache2/ssl/apache.key.pem

ServerAdmin mail@meine-seite.de
DocumentRoot /var/www/ispcp/gui

ServerName meine-seite.de

Alias /errors /var/www/ispcp/gui/errordocs/

ErrorDocument 401 /errors/401.html
ErrorDocument 403 /errors/403.html
ErrorDocument 404 /errors/404.html
ErrorDocument 500 /errors/500.html
ErrorDocument 503 /errors/503.html

Alias /pma /var/www/ispcp/gui/tools/pma/
Alias /webmail /var/www/ispcp/gui/tools/webmail/
Alias /ftp /var/www/ispcp/gui/tools/filemanager/

<IfModule suexec_module>
SuexecUserGroup vu2000 vu2000
</IfModule>

<Directory /var/www/ispcp/gui>
Options -Indexes Includes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>

<IfModule mod_fcgid.c>
<Directory /var/www/ispcp/gui>
FCGIWrapper /var/www/fcgi/master/php5-fcgi-starter .php
Options +ExecCGI
</Directory>
<Directory "/var/www/fcgi/master">
AllowOverride None
Options +ExecCGI MultiViews -Indexes
Order allow,deny
Allow from all
</Directory>
</IfModule>
<IfModule mod_fastcgi.c>
ScriptAlias /php5/ /var/www/fcgi/master/
<Directory "/var/www/fcgi/master">
AllowOverride None
Options +ExecCGI MultiViews -Indexes
Order allow,deny
Allow from all
</Directory>
</IfModule>

<IfModule mod_php5.c>
<Directory /var/www/ispcp/gui>
php_admin_value open_basedir "/var/www/ispcp/gui/:/etc/ispcp/:/var/run/ispcp.lock:/proc/:/bin/df:/bin/mount:/var/log/rkhunter.log:/var/log/chkrootkit.log:/usr/share/php/"
php_admin_value session.save_path "/var/www/ispcp/gui/phptmp/"
php_admin_value upload_tmp_dir "/var/www/ispcp/gui/phptmp/"
</Directory>
</IfModule>

</VirtualHost>

#
# Master End
#

So sollte doch SSL eigentlich für jede einzelne Seite nutzbar sein, oder?
Wenn ich jedoch https://meine-seite.de eingebe kommt direkt das ispCP Panel anstatt meine Seite. Das ispCP Panel liegt auf admin.meine-seite.de .
Habe beim Erstellen des Zertifikates bei
Common Name (eg, YOUR name) []:*.meine-seite.de
eingegeben, das ist doch richtig, oder?

RE: CAcert.org Zertifikat einbinden - Knut - 02-13-2010 12:42 AM

Das einfachste ist es, den Teil aus der /etc/apache2/sites-enabled/ispcp.conf zu kopieren für dessen Domain Du SSL haben willst.

Also alles zwischen

Code:

# httpd [deinedomain.tld] dmn entry BEGIN.

und

Code:

# httpd [deinedomain.tld] dmn entry END.

Aus dem

Code:

<VirtualHost 78.47.xx.xx:80>

musst Du natürlich ein

Code:

<VirtualHost 78.47.xx.xx:443>

machen und den Cert-Kram mit einfügen.

Code:

SSLEngine On

SSLCertificateFile /etc/apache2/ssl/apache.cert.pem

SSLCertificateKeyFile /etc/apache2/ssl/apache.key.pem

Ich gehe mal nicht davon aus das Du ein Wildcard-Zertifikat hast, also kannst Du nur deinedomain.tld und http://www.deinedomain.tld via SSL absichern.

Knut

RE: CAcert.org Zertifikat einbinden - nex89 - 02-13-2010 12:48 AM

Ich habe aber ein Wildcard Zertifikat erstellt. Dafür muss man doch nur bei

Common Name (eg, YOUR name) []: *.meine-seite.de

eingeben, oder? Wenn ich das so gemacht habe, brauche ich doch auch nicht wie in der Anleitung beschrieben für jeden Dienst ein eigenes erstellen, sondern kann das eine für alles nutzen, richtig?

RE: CAcert.org Zertifikat einbinden - Knut - 02-13-2010 01:06 AM

Du kannst für jeden Dienst (FTP, Apache...) jeweils das gleiche Zertifikat nutzen. Dafür braucht es kein Wildcard. Das Zertifikat muss halt jeweils zum Namen passen.

https://deinedomain.tld/ ist OK
https://xyz.deinedomain.tld/ ist OK
https://diezweitedomain.tld/ ist nicht OK

Knut

RE: CAcert.org Zertifikat einbinden - nex89 - 02-13-2010 01:18 AM

Edit: Danke für deine Geduld, es läuft nun alles mit Ausnahme vom Postfix-Server über SSL - ohne Probleme!! Smile

Quote:Feb 12 17:58:00 server postfix/smtpd[3974]: connect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:00 server postfix/smtpd[3974]: lost connection after EHLO from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:00 server postfix/smtpd[3974]: disconnect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:00 server postfix/smtpd[7171]: connect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:00 server postfix/smtpd[7171]: lost connection after EHLO from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:00 server postfix/smtpd[7171]: disconnect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:01 server postfix/smtpd[7187]: initializing the server-side TLS engine
Feb 12 17:58:01 server postfix/smtpd[7187]: connect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:01 server postfix/smtpd[7187]: setting up TLS connection from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:01 server postfix/smtpd[7187]: p4FC47627.dip.t-dialin.net[79.196.118.39]: TLS cipher list "ALL:!EXPORT:!LOW:+RC4:@STRENGTH"
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:before/accept initialization
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:SSLv3 read client hello A
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:SSLv3 write server hello A
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:SSLv3 write certificate A
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:SSLv3 write server done A
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:SSLv3 flush data
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept error from p4FC47627.dip.t-dialin.net[79.196.118.39]: -1
Feb 12 17:58:01 server postfix/smtpd[7187]: lost connection after CONNECT from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:01 server postfix/smtpd[7187]: disconnect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:05 server postfix/smtpd[7187]: connect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:05 server postfix/smtpd[7187]: setting up TLS connection from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:05 server postfix/smtpd[7187]: p4FC47627.dip.t-dialin.net[79.196.118.39]: TLS cipher list "ALL:!EXPORT:!LOW:+RC4:@STRENGTH"
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:before/accept initialization
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:SSLv3 read client hello A
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:SSLv3 write server hello A
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:SSLv3 write certificate A
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:SSLv3 write server done A
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:SSLv3 flush data
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept error from p4FC47627.dip.t-dialin.net[79.196.118.39]: -1
Feb 12 17:58:05 server postfix/smtpd[7187]: lost connection after CONNECT from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:05 server postfix/smtpd[7187]: disconnect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:05 server postfix/smtpd[827]: connect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:18 server postfix/smtpd[827]: lost connection after EHLO from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:18 server postfix/smtpd[827]: disconnect from p4FC47627.dip.t-dialin.net[79.196.118.39]

das einzige, was ich in der main.cf geändert habe:

Quote:# TLS parameters; activate, if avaible/used
#smtpd_tls_security_level = may
smtpd_tls_loglevel = 2
smtpd_tls_cert_file = /etc/postfix/postfix.cert.pem
smtpd_tls_key_file = /etc/postfix/postfix.key.pem
smtpd_tls_auth_only = yes
smtpd_tls_received_header = yes

smtpd_tls_auth_only ist extra zu testzwecken auf yes gestellt, damit ich es testen kann.

und was ist das für eine Meldung?

Quote:Feb 12 17:41:06 server postfix/smtpd[9415]: NOQUEUE: reject: RCPT from 118-169-195-117.dynamic.hinet.net[118.169.195.117]: 554 5.7.1 <candy59839@yahoo.com.tw>: Relay access denied; from=<michael78694@MyMainServer.com> to=<candy59839@yahoo.com.tw> proto=SMTP helo=<www.MyMainServer.com>

Kann mir wer sagen, woran das liegen könnte?

RE: CAcert.org Zertifikat einbinden - ZooL - 02-13-2010 05:26 AM

hast du die master.cf auch angepasst auch ssl ?

mfg