GLOBALTRUST Zertifikat auf Apache-Server installieren

(a) Allgemeine Einstellungen in der Apache-Konfiguration

Die Apache-Konfiguration befindet sich meist im Verzeichnis /etc/apache2. Notwendig ist das Öffnen des Ports 443, das verschlüsselte Datenübertragung ermöglicht.

Dafür muss in der Datei /etc/apache2/listen.conf die Zeile Listen 443<c/ode> eingetragen werden.

(b) Muster: Eintragen eines SSL-Servers in Konfiguration

Die VHost-Konfigurationen sind unter /etc/apache2/vhosts.d zu finden. Eine neue Datei für den SSL-VHost mit folgendem Inhalt wird unter /etc/apache2/vhosts.d/[servername] erstellt:

<VirtualHost> [IP-Adresse]:443
ServerName [servername]
ServerAdmin [mailadresse]
DocumentRoot /www/htdocs/[servername]
SSLEngine on
SSLCertificateFile /www/ssl/certs/[servername].crt
SSLCertificateKeyFile /www/ssl/private/[servername].key
SSLCACertificatePath /www/ssl/certs
SSLCACertificateFile /www/ssl/certs/ca-bundle.crt
SSLVerifyDepth 10
SSLVerifyClient 0
SSLLog /www/logs/[servername]-cipher_log
TransferLog /www/logs/[servername]-access_log
ErrorLog /www/logs/[servername]-error_log
</VirtualHost>

[servername].crt … Datei mit GLOBALTRUST/A-CERT SERVERCERT Zertifikat
[servername].key … Datei mit privaten SSL-Schlüssel
/www/ssl/certs … Pfad zur Verwaltung der Rootzertifikate
ca-bundle.crt … Datei mit kompletten Zertifizierungspfad

Das GLOBALTRUST SERVER Zertifikat wird per Mail im PEM-Format zugestellt und ist in die Datei /www/ssl/certs/[servername].crt zu kopieren.

Mit dem privaten Schlüssel, der vom Antragsteller generiert wurde ist mit der Datei /www/ssl/private/[servername].key analog zu verfahren.

Der komplette Zertifizierungspfad sollte unter /www/ssl/certs/ca-bundle.crt abgelegt werden. Zusätzlich zu dieser Datei ist ein symbolic-Link mit dem Hashwert als Namen anzugeben. Kompletter Zertifizierungspfad und Hashwert finden sich unter ITEM I-III im Downloadbereich der Zertifikatszustellung.

Zum Erzeugen des Symbolic-Links empfehlen wir in das Verzeichnis /www/ssl/certs zu wechseln und den Befehl ‘c_rehash’ auszuführen.

Hinweis: Die Pfadangaben ‘/www/htdocs/’ und ‘/www/ssl/’ sind Vorschläge von GLOBALTRUST und können von Ihrer aktuellen Apache-Konfiguration abweichen. Die verwendeten Konfigurationsdirektiven beziehen sich auf mod_ssl 2.8. Im Laufe der Entwicklung von mod_ssl wurden Konfigurationsdirektiven teilweise umbenannt – bei Unklarheiten wenden Sie sich bitte an Ihre mod_ssl Dokumentation.

© Anpassen Konfiguration Nameservice

Master-DNS-Server: ns01.x-intern.test / 192.168.20.11

1. Sichern bestehende Konfiguration
   []# cp -p /var/lib/named/master/zone.[DOMAINNAME] /var/lib/named/master/zone.[DOMAINNAME].JJJJMMTT
2. Anpassen Zone:
   []# vi /var/lib/named/master/zone.[DOMAINNAME]
3. Neuladen Konfiguration
   []# /etc/init.d/named reload
4. Prüfung Nameservice
   — Logging erfolgt auf: ace01:/var/log/ns01/user.all
   []# tail -f /var/log/ns01/user.all |grep named
   — neuen Eintrag testen
   []# dig [NAME].[DOMAINNAME] (z. B. dig mss01.x-intern.test)

(d) Restart Apache-Server

Nach Änderung der Konfiguration ist der Apacheserver neu zu starten, das Serverzertifikat ist ab sofort weltweit abrufbar und gültig.
Achtung: Sollten Sie einen Apache-Tomcat Server betreiben, verläuft der Konfigurationsvorgang anders. Bitte folgen Sie diesem Link zur entsprechenden Originaldokumentation.