Current time: 11-01-2024, 03:32 PM Hello There, Guest! (LoginRegister)


Post Reply 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
[GELÖST]CAcert.org Zertifikat einbinden
Author Message
nex89 Offline
Junior Member
*

Posts: 30
Joined: Feb 2010
Reputation: 1
Post: #1
[GELÖST]CAcert.org Zertifikat einbinden
Hallo,

ich habe mir ein SSL Zertifikat von CAcert.org erstellt und habe es in eine .pem Datei im Ordner /etc/ssl/certs gepackt...
Die sieht nun so ähnlich aus:
Quote:-----BEGIN CERTIFICATE-----
hbhbHBhBgVCFGCGHvHbhjnjNJNjvghCFvhgh....................
-----END CERTIFICATE-----


Nun würde ich gerne wissen, wie ich da weiter vorgehen muss um das SSL Zertifikat für folgende Dienste verwenden zu können:
1) in Apache2
2) Postfix
3) Courier IMAP
4) proFTPd

Habe gerade schon ca. 1 Stunde google benutzt, aber keine passende Antwort finden können. Habe auch die HowTos hier in der Wiki gesehen, jedoch wird da nicht auf fertige Zertifikate eingegangen.


Vielen Dank für euere Hilfe im vorraus!
(This post was last modified: 02-13-2010 05:26 AM by ZooL.)
02-12-2010 08:52 AM
Find all posts by this user Quote this message in a reply
Knut Offline
Member
***

Posts: 736
Joined: Nov 2006
Reputation: 10
Post: #2
RE: CAcert.org Zertifikat einbinden
(02-12-2010 08:52 AM)nex89 Wrote:  Habe gerade schon ca. 1 Stunde google benutzt, aber keine passende Antwort finden können. Habe auch die HowTos hier in der Wiki gesehen, jedoch wird da nicht auf fertige Zertifikate eingegangen.

Dann lass den Teil mit dem erstellen der Zertifikate aus und schau Dir den Part mit der Einbindung an.
Bei meinem Cert-Anbieter gab es auch eine sehr gute FAQ um das Cert in die entsprechenden Produkte einzubinden. Sowas gibt es bei CAcert bestimmt auch.

Knut
02-12-2010 04:09 PM
Find all posts by this user Quote this message in a reply
nex89 Offline
Junior Member
*

Posts: 30
Joined: Feb 2010
Reputation: 1
Post: #3
RE: CAcert.org Zertifikat einbinden
habe aber leider keine anleitung auf der herstellerseite gefunden und habe noch nie irgrndwas mit zertifikaten gemacht deshalb ist es
sehr schwer für mich das ohne anleitung zu verstehen:/

wäre nett wenn mir da einer weiterhelfen könnte!
02-12-2010 05:58 PM
Find all posts by this user Quote this message in a reply
Knut Offline
Member
***

Posts: 736
Joined: Nov 2006
Reputation: 10
Post: #4
RE: CAcert.org Zertifikat einbinden
Im Wiki ists aber sehr gut beschrieben.
http://www.isp-control.net/documentation...e_services

Musst ja nur das Erstellen der Certs jeweils weg lassen. Die Konfiguration der einzelnen Dienste ist ja auch beschrieben (... und damit habe ich es bei mir auch schon erstellt)


Knut

EDIT: Gleiches Thema im englischen Teil : http://www.isp-control.net/forum/thread-9169.html
Da hast Du schon mal die Anleitung für den Apachen. Die weiteren Dienste sind genauso einfach.
(This post was last modified: 02-12-2010 09:10 PM by Knut.)
02-12-2010 09:06 PM
Find all posts by this user Quote this message in a reply
nex89 Offline
Junior Member
*

Posts: 30
Joined: Feb 2010
Reputation: 1
Post: #5
RE: CAcert.org Zertifikat einbinden
Ich weiß nicht wieso, aber jetzt klappt es merkwürdigerweise nach der Anleitung..muss vorher immer was falsch gemacht haben! Habe aber jetzt mein eigenes Zertifikat erstellt und nicht das von CACert.org.

Allerdings habe ich eine Frage.

Meine /etc/apache2/sites-available/01_ssl_master.conf sieht so aus:
Quote:<VirtualHost 88.198.182.xx:443>

SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.cert.pem
SSLCertificateKeyFile /etc/apache2/ssl/apache.key.pem

ServerAdmin mail@meine-seite.de
DocumentRoot /var/www/ispcp/gui

ServerName meine-seite.de

Alias /errors /var/www/ispcp/gui/errordocs/

ErrorDocument 401 /errors/401.html
ErrorDocument 403 /errors/403.html
ErrorDocument 404 /errors/404.html
ErrorDocument 500 /errors/500.html
ErrorDocument 503 /errors/503.html

Alias /pma /var/www/ispcp/gui/tools/pma/
Alias /webmail /var/www/ispcp/gui/tools/webmail/
Alias /ftp /var/www/ispcp/gui/tools/filemanager/

<IfModule suexec_module>
SuexecUserGroup vu2000 vu2000
</IfModule>

<Directory /var/www/ispcp/gui>
Options -Indexes Includes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
Allow from all
</Directory>

<IfModule mod_fcgid.c>
<Directory /var/www/ispcp/gui>
FCGIWrapper /var/www/fcgi/master/php5-fcgi-starter .php
Options +ExecCGI
</Directory>
<Directory "/var/www/fcgi/master">
AllowOverride None
Options +ExecCGI MultiViews -Indexes
Order allow,deny
Allow from all
</Directory>
</IfModule>
<IfModule mod_fastcgi.c>
ScriptAlias /php5/ /var/www/fcgi/master/
<Directory "/var/www/fcgi/master">
AllowOverride None
Options +ExecCGI MultiViews -Indexes
Order allow,deny
Allow from all
</Directory>
</IfModule>

<IfModule mod_php5.c>
<Directory /var/www/ispcp/gui>
php_admin_value open_basedir "/var/www/ispcp/gui/:/etc/ispcp/:/var/run/ispcp.lock:/proc/:/bin/df:/bin/mount:/var/log/rkhunter.log:/var/log/chkrootkit.log:/usr/share/php/"
php_admin_value session.save_path "/var/www/ispcp/gui/phptmp/"
php_admin_value upload_tmp_dir "/var/www/ispcp/gui/phptmp/"
</Directory>
</IfModule>

</VirtualHost>

#
# Master End
#


So sollte doch SSL eigentlich für jede einzelne Seite nutzbar sein, oder?
Wenn ich jedoch https://meine-seite.de eingebe kommt direkt das ispCP Panel anstatt meine Seite. Das ispCP Panel liegt auf admin.meine-seite.de .
Habe beim Erstellen des Zertifikates bei
Common Name (eg, YOUR name) []:*.meine-seite.de
eingegeben, das ist doch richtig, oder?
(This post was last modified: 02-13-2010 12:25 AM by nex89.)
02-12-2010 11:25 PM
Find all posts by this user Quote this message in a reply
Knut Offline
Member
***

Posts: 736
Joined: Nov 2006
Reputation: 10
Post: #6
RE: CAcert.org Zertifikat einbinden
Das einfachste ist es, den Teil aus der /etc/apache2/sites-enabled/ispcp.conf zu kopieren für dessen Domain Du SSL haben willst.

Also alles zwischen
Code:
# httpd [deinedomain.tld] dmn entry BEGIN.
und
Code:
# httpd [deinedomain.tld] dmn entry END.
Aus dem
Code:
<VirtualHost 78.47.xx.xx:80>
musst Du natürlich ein
Code:
<VirtualHost 78.47.xx.xx:443>
machen und den Cert-Kram mit einfügen.
Code:
SSLEngine On
SSLCertificateFile /etc/apache2/ssl/apache.cert.pem
SSLCertificateKeyFile /etc/apache2/ssl/apache.key.pem


Ich gehe mal nicht davon aus das Du ein Wildcard-Zertifikat hast, also kannst Du nur deinedomain.tld und http://www.deinedomain.tld via SSL absichern.

Knut
02-13-2010 12:42 AM
Find all posts by this user Quote this message in a reply
nex89 Offline
Junior Member
*

Posts: 30
Joined: Feb 2010
Reputation: 1
Post: #7
RE: CAcert.org Zertifikat einbinden
Ich habe aber ein Wildcard Zertifikat erstellt. Dafür muss man doch nur bei

Common Name (eg, YOUR name) []: *.meine-seite.de


eingeben, oder? Wenn ich das so gemacht habe, brauche ich doch auch nicht wie in der Anleitung beschrieben für jeden Dienst ein eigenes erstellen, sondern kann das eine für alles nutzen, richtig?
02-13-2010 12:48 AM
Find all posts by this user Quote this message in a reply
Knut Offline
Member
***

Posts: 736
Joined: Nov 2006
Reputation: 10
Post: #8
RE: CAcert.org Zertifikat einbinden
Du kannst für jeden Dienst (FTP, Apache...) jeweils das gleiche Zertifikat nutzen. Dafür braucht es kein Wildcard. Das Zertifikat muss halt jeweils zum Namen passen.

https://deinedomain.tld/ ist OK
https://xyz.deinedomain.tld/ ist OK
https://diezweitedomain.tld/ ist nicht OK

Knut
02-13-2010 01:06 AM
Find all posts by this user Quote this message in a reply
nex89 Offline
Junior Member
*

Posts: 30
Joined: Feb 2010
Reputation: 1
Post: #9
RE: CAcert.org Zertifikat einbinden
Edit: Danke für deine Geduld, es läuft nun alles mit Ausnahme vom Postfix-Server über SSL - ohne Probleme!! Smile

Quote:Feb 12 17:58:00 server postfix/smtpd[3974]: connect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:00 server postfix/smtpd[3974]: lost connection after EHLO from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:00 server postfix/smtpd[3974]: disconnect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:00 server postfix/smtpd[7171]: connect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:00 server postfix/smtpd[7171]: lost connection after EHLO from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:00 server postfix/smtpd[7171]: disconnect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:01 server postfix/smtpd[7187]: initializing the server-side TLS engine
Feb 12 17:58:01 server postfix/smtpd[7187]: connect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:01 server postfix/smtpd[7187]: setting up TLS connection from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:01 server postfix/smtpd[7187]: p4FC47627.dip.t-dialin.net[79.196.118.39]: TLS cipher list "ALL:!EXPORT:!LOW:+RC4:@STRENGTH"
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:before/accept initialization
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:SSLv3 read client hello A
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:SSLv3 write server hello A
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:SSLv3 write certificate A
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:SSLv3 write server done A
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept:SSLv3 flush data
Feb 12 17:58:01 server postfix/smtpd[7187]: SSL_accept error from p4FC47627.dip.t-dialin.net[79.196.118.39]: -1
Feb 12 17:58:01 server postfix/smtpd[7187]: lost connection after CONNECT from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:01 server postfix/smtpd[7187]: disconnect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:05 server postfix/smtpd[7187]: connect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:05 server postfix/smtpd[7187]: setting up TLS connection from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:05 server postfix/smtpd[7187]: p4FC47627.dip.t-dialin.net[79.196.118.39]: TLS cipher list "ALL:!EXPORT:!LOW:+RC4:@STRENGTH"
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:before/accept initialization
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:SSLv3 read client hello A
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:SSLv3 write server hello A
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:SSLv3 write certificate A
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:SSLv3 write server done A
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept:SSLv3 flush data
Feb 12 17:58:05 server postfix/smtpd[7187]: SSL_accept error from p4FC47627.dip.t-dialin.net[79.196.118.39]: -1
Feb 12 17:58:05 server postfix/smtpd[7187]: lost connection after CONNECT from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:05 server postfix/smtpd[7187]: disconnect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:05 server postfix/smtpd[827]: connect from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:18 server postfix/smtpd[827]: lost connection after EHLO from p4FC47627.dip.t-dialin.net[79.196.118.39]
Feb 12 17:58:18 server postfix/smtpd[827]: disconnect from p4FC47627.dip.t-dialin.net[79.196.118.39]

das einzige, was ich in der main.cf geändert habe:
Quote:# TLS parameters; activate, if avaible/used
#smtpd_tls_security_level = may
smtpd_tls_loglevel = 2
smtpd_tls_cert_file = /etc/postfix/postfix.cert.pem
smtpd_tls_key_file = /etc/postfix/postfix.key.pem
smtpd_tls_auth_only = yes
smtpd_tls_received_header = yes
smtpd_tls_auth_only ist extra zu testzwecken auf yes gestellt, damit ich es testen kann.


und was ist das für eine Meldung?
Quote:Feb 12 17:41:06 server postfix/smtpd[9415]: NOQUEUE: reject: RCPT from 118-169-195-117.dynamic.hinet.net[118.169.195.117]: 554 5.7.1 <candy59839@yahoo.com.tw>: Relay access denied; from=<michael78694@MyMainServer.com> to=<candy59839@yahoo.com.tw> proto=SMTP helo=<www.MyMainServer.com>

Kann mir wer sagen, woran das liegen könnte?
(This post was last modified: 02-13-2010 02:59 AM by nex89.)
02-13-2010 01:18 AM
Find all posts by this user Quote this message in a reply
ZooL Offline
Moderator
*****
Moderators

Posts: 3,429
Joined: Jan 2007
Reputation: 79
Post: #10
RE: CAcert.org Zertifikat einbinden
hast du die master.cf auch angepasst auch ssl ?

mfg
02-13-2010 05:26 AM
Visit this user's website Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 5 Guest(s)