PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SSL Verbindung aufbauen?



Berufspenner
10.07.02, 22:50
Hi@all

Gegebenheiten:
Auf meinem Server läuft der Apache und vsFTPd. Erreichbar über eine dynamische IP. Ich möchte nun das man via SSL eine gesícherte Verbindung zu meinem Server aufbauen kann.

Frage:
Was brauche ich alles um das realisieren zu können? Den Port 443 habe ich offen gelassen.

Danke im vorraus.
CU

Dennis_S
10.07.02, 22:59
als erstes brauchst du natürlich einen ssh daemon (z.B. OpenSSH). Sollte normalerweise in jeder Distri drin sein. Manchmal sogar standardmässig installiert. Vieleicht läuft so ein Ding sogar schon auf deinem Rechner. Probier mal aus.
ssh localhost
Wenn sich was tut,..läuft da schon so ein Daemon.
Der Syntax für den ssh Befehl ist.
ssh -l username host
eventuell kannst du noch -X verwenden für X-Forwarding. Damit kannst du X Proggies über deinen X-Server laufen lassen.

Berufspenner
10.07.02, 23:28
Hi@Dennis_S

ähhmmm...ich glaube du hast dich da ein wenig verlesen. Es handelt sich hier um SSL und nicht um SSH. Das sind zwei grundsätzlich verschiedene Sachen. SSH funktioniert bei mir ja schon erfolgreich.

Cu

Harry
10.07.02, 23:55
Hallo,

für den Apache benötigst Du noch das Apache-Modul mod_ssl sowie das Paket OpenSSL.
Mit OpenSSL erzeugst Du Dir dann ein Certification-Request (quasi ein Public-/Private Schlüsselpaar), wobei der Public-Key dann von einer CA (Certification Authority) signiert werden muß. Die Signierung kostet je nach CA eine hübsche Summe. Das wird dann das Zertifikat (x509v3) sein.

Du kannst für Testzwecke auch Deine eigene CA erstellen und den Request somit selbst signieren.

Anschließend mußt Du halt noch SSL in der httpd.conf des Apache aktivieren.

Falls Du eine SuSE hast, findest Du nach der Installation im Verzeichnis /usr/share/doc/packages/mod_ssl das Skript certificate.sh, welches Dir diese ganzen Schritte abnimmt und eine CA unter dem Namen "Snake Oil Ltd." zur Verfügung stellt. Die Konfiguration des Apache ist für SSL vorbereitet und Du mußt die SSL-Engine lediglich aktivieren.

Eine weitere ausführliche Doku enthält das Paket OpenSSL.

Harry

Berufspenner
11.07.02, 00:05
Hi,

danke für deine Antwort. Ja, ich verwende Suse.
Noch ein paar Fragen:
1. Wenn ich das genannte Script verwende, fallen mir dann auch keine Kosten für eine Signatur an?
2. Ist eine Signierung zwingend notwendig? Schliesslich will ich nichts im grossen Still veranstallten. Ich möchte nur eine sichere Verbindung zwischen User und Server ermöglichen.

Cu

Berufspenner
11.07.02, 01:09
Hi

also ich habe openssl installiert und auch das Script ausgeführt. Und jetzt, als ich vesucht habe via Webmin einige Einstellungen am Apachen bezüglich ssl gemacht habe kam es zu Fehlermeldungen wie z.B.

Syntax error on line 1596 of /etc/httpd/httpd.conf: Invalid
command 'SSLEngine', perhaps mis-spelled or defined by a module not included in the
server configuration ..failed
Was muss ich nun Schritt für schritt machen um mein bereits gepostetes Ziel zu erreichen?

Harry
11.07.02, 01:21
Hallo,

wenn Du das Skript certificate.sh verwendest, dann erstellst Du Deine eigene Dummy-CA mit der Du den Request signierst. Das kostet Dich nix.

Wenn Du einen öffentlichen Webserver mit SSL hosten möchtest, dann solltest Du ein Zertifikat haben, welches von einer öffentlichen CA signiert wurde, denn sonst kann ja niemand die Echtheit des Zertifikates prüfen und genau das ist der Sinn eines Zertifikates.

Zu der Fehlermeldung:
Schau' mal in die httpd.conf direkt rein. Eigentlich ist der SSL-Abschnitt (ab "## SSL Virtual Host Context") recht gut beschrieben und Du mußt nur wenige Änderungen vornehmen (DocumentRoot, ServerName, ServerAdmin).

Harry

bom
11.07.02, 01:24
Welche Version des Apache verwendest Du?
Ich hatte mit 1.3.26 und mod_ssl das problem, dass ich ihn nicht mal kompilieren konnte.
hintergrund ist, dass mod_ssl scheinbar EAPI-support braucht. Wenn ich versuchen den Apache mit ./configure --prefix=/home/apache --enable-module=so --enable-rule=EAPI kompilieren will, bricht er mir ab.

Vielleicht hast Du ja ein ähnliches Problem.

maus66
11.07.02, 09:17
@berufspenner,
Du schreibst, dass Du ssl installiert hast. Ich musste danach noch
den Apache neu installieren, weil der sonst das Modul ssl nicht kennt.
Grüssle

Dennis_S
11.07.02, 15:29
Original geschrieben von Berufspenner
Hi@Dennis_S

ähhmmm...ich glaube du hast dich da ein wenig verlesen. Es handelt sich hier um SSL und nicht um SSH. Das sind zwei grundsätzlich verschiedene Sachen. SSH funktioniert bei mir ja schon erfolgreich.

Cu

:D :D
Ooopsss,..was ist denn da über mich gekommen? War wohl schon am schlafen! :ugly:

Berufspenner
13.07.02, 18:14
Hi@all

Ich bins nochmal.
Durch Google bin ich auf follgende Seite gestosen:
http://certs.ipsca.com. Dort hat man die Möglichkeit sich ein Zertifikat zu erstellen, welches eine Gültigkeit von sechs Monaten. Das hört sich ja schon mal nicht schlecht an zumal es kostenlos ist.

Nunja, und jetzt wollte ich wissen, wie ich die von Harry bereits genannte "Certification-Request" erstelle. Ich habe einen laufenden Apachen der Version 1.3.23 + mod_ssl und openssl.

Cu

Harry
13.07.02, 21:48
Hallo,

wenn Du zuerst "nur" einen Request erstellen möchtest und diesen anschließend von einer offiziellen CA signieren lassen möchtest, dann gehst Du den folgenden Weg:
- als root in das Verzeichnis /usr/share/ssl/misc wechseln
- dort "CA.pl -newreq" aufrufen
- alle erwarteten Daten eingeben
- und fertig ist Dein Request (*.req)

Wenn Du jedoch a) einen Request erstellen willst und b) diesen "nur so zum testen" signieren willst, dann nimm einfach das bereits oben beschriebene Skript "certificate.sh"; das erledigt alles weitgehend automatisch.

Harry

Berufspenner
13.07.02, 21:56
Hi

@Harry

Danke für die Tips. Ich werde das jetzt mal ausprobieren und melde mich fals es noch probleme giebt oder es einfach klappt.

Cu