27.6. Erstellen eines Schlüssels

Sie müssen als unter einem root-Account angemeldet sein, um einen Schlüssel erstellen zu können.

Geben Sie als erstes den Befehl cd ein, um in das Verzeichnis /etc/httpd/conf/ zu wechseln. Entfernen Sie mit den folgenden Befehlen den falschen Schlüssel und das Zertifikat, die während der Installation erstellt wurden:

rm ssl.key/server.key
rm ssl.crt/server.crt

Als nächstes müssen Sie Ihren eigenen zufälligen Schlüssel erstellen. Wechseln Sie ins Verzeichnis /usr/share/ssl/certs/ und geben Sie folgenden Befehl ein:

make genkey

Ihr System zeigt eine Meldung ähnlich der Folgenden an:

umask 77 ; \
/usr/bin/openssl genrsa -des3 1024 > /etc/httpd/conf/ssl.key/server.key
Generating RSA private key, 1024 bit long modulus
.......++++++
................................................................++++++
e is 65537 (0x10001)
Enter pass phrase:

Geben Sie jetzt Ihr Passwort ein. Um größtmögliche Sicherheit zu gewähren, sollte Ihr Passwort aus mindestens acht Zeichen bestehen, Zahlen und/oder Punkte enthalten und ein Wort sein, das man in keinem Wörterbuch findet. Bedenken Sie außerdem, dass Ihr Passwort Groß- und Kleinschreibung beachtet.

AnmerkungAnmerkung
 

Sie müssen Ihr Passwort bei jedem Start Ihres Secure Server eingeben, prägen Sie es sich also gut ein.

Sie werden aufgefordert, Ihr Passwort ein zweites Mal einzugeben, um zu überprüfen, dass es korrekt ist. Nach der korrekten Eingabe wird die Datei /etc/httpd/conf/ssl.key/server.key erstellt, die Ihren Schlüssel enthält.

Wenn Sie nicht bei jedem Start Ihres Secure Server Ihr Passwort eingeben möchten, müssen Sie die beiden folgenden Befehle statt make genkey verwenden, um einen Schlüssel zu erstellen.

Verwenden Sie folgenden Befehl zum Erstellen des Schlüssels:

/usr/bin/openssl genrsa 1024 > /etc/httpd/conf/ssl.key/server.key

Verwenden Sie dann folgenden Befehl zum Sicherstellen, dass die Berechtigungen für den Schlüssel korrekt festgelegt sind:

chmod go-rwx /etc/httpd/conf/ssl.key/server.key

Nach Verwendung der o.g. Befehle zur Erstellung Ihres Schlüssels brauchen Sie nicht mehr Ihr Passwort einzugeben, um den Secure Server zu starten.

AchtungAchtung
 

Die Deaktivierung der Passwort-Funktion für Ihren Secure Server is a stellt ein Sicherheitsrisiko dar. Aus diesem Grund empfehlen wir Ihnen, die Passwort-Funktion für Ihren Secure Server NICHT zu deaktivieren.

Die Probleme, die auftreten, wenn kein Passwort benutzt wird, haben direkten Einfluss auf die Sicherheit des Rechners. Wenn z.B. jemand die reguläre UNIX-Sicherheit eines Rechners überwindet, kann diese Person Ihren privaten Schlüssel (die Inhalte Ihrer server.key Datei) abrufen. Der Schlüssel kann dann benutzt werden, um Webseiten zu erstellen, die scheinbar von Ihrem Secure Server stammen.

Wenn die UNIX-Sicherheitsregeln auf dem Rechner strikt eingehalten werden (d.h. alle Betriebssystem-Patches und -Aktualisierungen werden bei Verfügbarkeit sofort installiert, es werden keine unnötigen oder riskanten Dienste in Anspruch genommen o.ä.), mag Ihnen die Verwendung Ihres Passworts für den Secure Server überflüssig und unnötig erscheinen. Da Ihr Secure Server aber ohnehin nicht allzuoft neu gebootet werden sollte, lohnt es sich dennoch in den meisten Fällen, Ihr Passwort zu verwenden, das Ihnen extrem hohe Sicherheit gewährleistet.

Die server.key-Datei sollte Eigentum des root-Accounts Ihres Systems und für andere Benutzer nicht zugänglich sein. Erstellen Sie eine Sicherungskopie dieser Datei und bewahren Sie die Sicherungskopie an einem sicheren und geheimen Ort auf. Die Sicherungskopie ist wichtig für den Fall, dass die server.key-Datei nach der Erstellung des Zertifikatsantrags verloren gehen sollte. In diesem Fall wird Ihr Zertifikat ungültig, und die ZS wird Ihnen in diesem Fall nicht weiterhelfen können. Die einzige Lösung wäre dann ein neuer Antrag eines Zertifikats (und dessen Bezahlung).

Wenn Sie ein Zertifikat von einer ZS erwerben, fahren Sie unter Abschnitt 27.7 fort. Wenn Sie Ihr eigensigniertes Zertifikat erstellen möchten, fahren Sie unter Abschnitt 27.8 fort.