GLOBALTRUST® Zertifikat auf Apache-Server installieren

18. November 2016

(a) Allgemeine Einstellungen in der Apache-Konfiguration

Die Apache-Konfiguration befindet sich meist im Verzeichnis /etc/apache2. Notwendig ist das Öffnen des Ports 443, das verschlüsselte Datenübertragung ermöglicht.

Dafür muss in der Datei /etc/apache2/listen.conf die Zeile Listen 443 eingetragen werden.

(b) Muster: Eintragen eines SSL-Servers in Konfiguration

Die VHost-Konfigurationen sind unter /etc/apache2/vhosts.d zu finden. Eine neue Datei für den SSL-VHost mit folgenenden Inhalt wird unter /etc/apache2/vhosts.d/[servername] erstellt:

<VirtualHost> [IP-Adresse]:443
ServerName [servername]
ServerAdmin [mailadresse]
DocumentRoot /www/htdocs/[servername]
SSLEngine on
SSLCertificateFile /www/ssl/certs/[servername].crt
SSLCertificateKeyFile /www/ssl/private/[servername].key
SSLCACertificatePath /www/ssl/certs
SSLCACertificateFile /www/ssl/certs/ca-bundle.crt
SSLVerifyDepth 10
SSLVerifyClient 0
SSLLog /www/logs/[servername]-cipher_log
TransferLog /www/logs/[servername]-access_log
ErrorLog /www/logs/[servername]-error_log
</VirtualHost>

[servername].crt ... Datei mit GLOBALTRUST/A-CERT SERVERCERT Zertifikat
[servername].key ... Datei mit privaten SSL-Schlüssel
/www/ssl/certs ... Pfad zur Verwaltung der Rootzertifikate
ca-bundle.crt ... Datei mit kompletten Zertifizierungspfad

Das GLOBALTRUST® SERVER Zertifikat wird per Mail im PEM-Format zugestellt und ist in die Datei /www/ssl/certs/[servername].crt zu kopieren.

Mit dem Privaten Schlüssel, der vom Antragsteller generiert wurde ist mit der Datei /www/ssl/private/[servername].key analog zu verfahren.

Der komplette Zertifizierungspfad sollte unter /www/ssl/certs/ca-bundle.crt abgelegt werden. Zusätzlich zu dieser Datei ist ein symbolic-Link mit dem Hashwert als Namen anzugeben. Kompletter Zertifizierungspfad und Hashwert finden sich unter ITEM I-III im Downloadbereich der Zertifikatszustellung.

Zum Erzeugen des Symbolic-Link empfehlen wir in das Verzeichnis /www/ssl/certs zu wechseln und den Befehl 'c_rehash' auszuführen.

Hinweis: Die Pfadangaben '/www/htdocs/' und '/www/ssl/' sind Vorschläge von GLOBALTRUST® und können von Ihrer aktuellen Apache-Konfiguration abweichen. Die verwendeten Konfigurationsdirektiven beziehen sich auf mod_ssl 2.8. Im Laufe der Entwicklung von mod_ssl wurden Konfigurationsdirektiven teilweise umbenannt - bei Unklarheiten wenden Sie sich bitte an Ihre mod_ssl Dokumentation.

(c) Anpassen Konfiguration Nameservice

Master-DNS-Server: ns01.x-intern.test / 192.168.20.11

  1. Sichern bestehende Konfiguration
    []# cp -p /var/lib/named/master/zone.[DOMAINNAME] /var/lib/named/master/zone.[DOMAINNAME].JJJJMMTT
  2. Anpassen Zone:
    []# vi /var/lib/named/master/zone.[DOMAINNAME]
  3. Neuladen Konfiguration
    []# /etc/init.d/named reload
  4. Prüfung Nameservice
    -- Logging erfolgt auf: ace01:/var/log/ns01/user.all
    []# tail -f /var/log/ns01/user.all |grep named
    -- neuen Eintrag testen
    []# dig [NAME].[DOMAINNAME] (zB dig mss01.x-intern.test)

(d) Restart Apache-Server

Nach Änderung der Konfiguration ist der Apacheserver neu zu starten, das Serverzertifikat ist ab sofort weltweit abrufbar und gültig.
Achtung: Sollten Sie einen Apache-Tomcat Server betreiben, verläuft der Konfigurationsvorgang anders. Bitte folgen Sie diesem Link zur entsprechenden Originaldokumentation.