GLOBALTRUST® Zertifikat auf Apache-Server installieren

18. November 2016

(a) Allgemeine Einstellungen in der Apache-Konfiguration


Die Apache-Konfiguration befindet sich meist im Verzeichnis /etc/apache2. Notwendig ist das Öffnen des Ports 443, das verschlüsselte Daten-Übertragung ermöglicht.
Dafür muss in der Datei /etc/apache2/listen.conf die Zeile „Listen 443“ eingetragen werden.


(b) Muster: Eintragen eines SSL-Servers in Konfiguration

Die VHost-Konfigurationen sind unter /etc/apache2/vhosts.d zu finden. Eine neue Datei für den SSL-VHost mit folgenenden Inhalt wird unter /etc/apache2/vhosts.d/[servername] erstellt:

<VirtualHost [IP-Adresse]:443>
ServerName [servername]
ServerAdmin [mailadresse]
DocumentRoot /www/htdocs/[servername]
SSLEngine on
SSLCertificateFile /www/ssl/certs/[servername].crt
SSLCertificateKeyFile /www/ssl/private/[servername].key
SSLCACertificatePath /www/ssl/certs
SSLCACertificateFile /www/ssl/certs/ca-bundle.crt
SSLVerifyDepth 10
SSLVerifyClient 0
SSLLog /www/logs/[servername]-cipher_log
TransferLog /www/logs/[servername]-access_log
ErrorLog /www/logs/[servername]-error_log
</VirtualHost>

[servername].crt … Datei mit GLOBALTRUST/A-CERT SERVERCERT Zertifikat
[servername].key … Datei mit privaten SSL-Schlüssel
/www/ssl/certs … Pfad zur Verwaltung der Rootzertifikate
ca-bundle.crt … Datei mit kompletten Zertifizierungspfad

Das GLOBALTRUST® SERVER Zertifikat wird per Mail im PEM-Format zugestellt und ist in die Datei /www/ssl/certs/[servername].crt zu kopieren.

Mit dem Privaten Schlüssel, der vom Antragsteller generiert wurde ist mit der Datei /www/ssl/private/[servername].key analog zu verfahren.

Der komplette Zertifizierungspfad sollte unter /www/ssl/certs/ca-bundle.crt abgelegt werden. Zusätzlich zu dieser Datei ist ein symbolic-Link mit dem Hashwert als Namen anzugeben. Kompletter Zertifizierungspfad und Hashwert finden sich unter ITEM I-III im Downloadbereich der Zertifikatszustellung.

Zum Erzeugen des Symbolic-Link empfehlen wir in das Verzeichnis /www/ssl/certs zu wechseln und den Befehl ‚c_rehash‘ auszuführen.

Hinweis: Die Pfadangaben ‚/www/htdocs/‘ und ‚/www/ssl/‘ sind Vorschläge von GLOBALTRUST® und können von Ihrer aktuellen Apache-Konfiguration abweichen. Die verwendeten Konfigurationsdirektiven beziehen sich auf mod_ssl 2.8. Im Laufe der Entwicklung von mod_ssl wurden Konfigurationsdirektiven teilweise umbenannt – bei Unklarheiten wenden Sie sich bitte an Ihre mod_ssl Dokumentation.



(c) Anpassen Konfiguration Nameservice

Master-DNS-Server: ns01.x-intern.test / 192.168.20.11
– sichern bestehende Konfiguration
[]# cp -p /var/lib/named/master/zone.[DOMAINNAME] /var/lib/named/master/zone.[DOMAINNAME].JJJJMMTT
– Anpassen Zone:
[]# vi /var/lib/named/master/zone.[DOMAINNAME]
– Neu Laden Konfiguration
[]# /etc/init.d/named reload
– Prüfung Nameservice
— Logging erfolgt auf: ace01:/var/log/ns01/user.all
[]# tail -f /var/log/ns01/user.all |grep named
— neuen Eintrag testen
[]# dig [NAME].[DOMAINNAME] (zB dig mss01.x-intern.test)

(d) Restart Apache-Server

Nach Änderung der Konfiguration ist der Apacheserver neu zu starten, das Serverzertifikat ist ab sofort weltweit abrufbar und gültig.

Achtung: Sollten die einen Apache-Tomcat Server betreiben, verläuft der Konfigurationsvorgang anders. Bitte folgen Sie dem untenstehenden Link zur entsprechenden Originaldokumentation.