Server: Bereitstellen der Notwendigkeiten

Diese Anleitung zeigt die notwendigen vorbereitenden Schritte, um ein Serverzertifikat für die Applikationen auf dem Server nutzbar zu machen. Das Serverzertifiat, der private Schlüssel und die Zertifikatskette müssen auf dem System an der richtigen Stelle eingebracht werden. Dies wird hier beispielhaft für ein "Debian Buster"-System getan.

Auf dem Server den (temporären) Zielordner vorbereiten:

$ mkdir /home/<user>/certs

Zertifikat und Schlüssel per scp auf das System kopieren (falls noch nicht geschehen. Sollte das Zertifikat im .cer-Dateiformat sein, so ist das auch in Ordnung und der Ablauf kann analog erfolgen.):

$ scp server-key.pem server-cert.pem <user>@<zielhost>:/home/<user>/certs/.

Damit der private Schlüssel ohne Passwortabfrage von den Applikationen gelesen werden kann, erstellen wir eine Kopie des Schlüssels ohne Passwortschutz:

$ cd /home/<user>/certs

$ openssl rsa -in server-key.pem -out server-key_nopass.pem

Auf dem Server werden das Zertifikat und der Schlüssel an die richtige Stelle verschoben und die Zugriffsrechte angepasst:

$ cp /home/<user>/certs/server-cert.pem /etc/ssl/certs/.

$ cp /home/<user>/certs/server-key_nopass.pem /etc/ssl/private/.

$ chown root:root /etc/ssl/certs/server-cert.pem /etc/ssl/private/server-key_nopass.pem

$ chmod 0644 /etc/ssl/certs/server-cert.pem

$ chmod 0600 /etc/ssl/private/server-key_nopass.pem

Damit die Zertifikatskette bis zum Zertifikat vollständig ist, muss diese auf dem System abgespeichert werden:

$ cd /etc/ssl/certs

$ wget -O dfnglobal2-chain.pem https://pki.pca.dfn.de/dfn-ca-global-g2/pub/cacert/chain.txt

Entfernen der temporären Dateien:

$ rm -r /home/<user>/certs/

Soll der Schlüssel (und Zertifikat) im Home-Verzeichnis nicht entfernt werden und auch außerhalb von /etc/ssl aufbewahrt werden, müssen auch hier dementsprechende Zugriffsrechte gesetzt werden (insbesondere für die _nopass-Datei, da diese nicht mehr durch ein Passwort geschützt ist):

$ chown root:root /home/<user>/certs/server-key.pem /home/<user>/certs/server-key_nopass.pem /home/<user>/certs/server-cert.pem

$ chmod 0644 /home/<user>/certs/server-cert.pem

$ chmod 0600 /home/<user>/certs/server-key.pem /home/<user>/certs/server-key_nopass.pem

Das Zertifikat und der private Schlüssel sind nun auf dem Server hinterlegt und können im nächsten Schritt von den jeweiligen Applikationen verwendet werden (Im nächsten Drop-Down-Menü am Beispiel von Apache2).

Kontakt

Zertifikatsteam des LUIS
Zertifikatsteam des LUIS