PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Apache 2 SSL mit zertifikaten von eigener CA



tobip
07.01.04, 14:33
Hi,

habe folgendes Problem: auf meinen Apache2 laufen mehrere SSL-Virtualhosts und ich wollte mein SSL-Zertifikate von meiner eigenen CA signieren lassen um nicht jedes einzelne zertifikat auf allen Clinets installieren zu müssen!

nun ich bekomme von meinen Apache im Error-Log immer folgende Fehler:
[Wed Jan 07 14:17:59 2004] [info] Seeding PRNG with 136 bytes of entropy
[Wed Jan 07 14:17:59 2004] [info] (70014)End of file found: SSL input filter read failed.

ich habe mir meine CA-Zertifikate mir folgenden 2 Befehlen erstellt:

- openssl genrsa -des3 -out ./private/RCAkey.pem -rand ./rand.rnd 2048
- openssl req -new -x509 -days 730 -key ./private/RCAkey.pem -out ./private/RCAcert.pem

anschließend habe ich mit folgenden Befehlen die Zertifikate für den Apache generiert:
- openssl genrsa -out ./private/WebServerKey.key -rand rand.rnd 1024
- openssl req -new -key ./private/WebServerKey.key -out ./newcerts/WebServerReq.pem
- openssl ca -name rootCA -keyfile ./private/RCAkey.pem -in ./newcerts/WebServerReq.pem -out ./newcerts/WebServerCert.pem -outdir ./certs
- openssl x509 -in ./newcerts/WebServerCert.pem -outform der -out ./newcerts/WebServerCert.der

ich habe versucht im Apache das PEM bzw. auch das DER Codierte Zertifikat einzubingen ändert aber nichts ... ;-(

an der Apache-Config kanns nicht liegen, da mit meinen alten Zertifikaten alles funktioniert...

auszug aus meine Virtual-Host configuration:

SSLCertificateFile /etc/apache2/certs/WebServerCert.pem
SSLCertificateKeyFile /etc/apache2/certs/WebServerKey.key
SSLCertificateChainFile /etc/apache2/certs/ca/CAchain.pem
SSLCACertificateFile /etc/apache2/certs/ca/RCAcert.pem
SSLCACertificatePath /etc/apache2/certs/ca


CAchain.pem habe ich einfach beide Zertifikate (das von meiner CA und das von meinem Server) mit cat zusammengehängt! ist das richtig?

muß ich meine CA noch irgendwie zusätzlich einbinden?

oder was kann ich tun damit das funktioniert?
hat jemand vielleicht eine Idee?

Danke an alle

lg
Toby

bom
08.01.04, 18:43
Hier: http://lamps.efactory.de/lamps-2-0.shtml gibt's ein ganz gutes Tutorial, das auch funktioniert...