Serverzertifikat installieren

Vor der Installation müssen Sie erfolgreich ein Serverzertifikat beantragt haben. Sie haben nach einer erfolgreichen Zertifizierung das signierte Zertifikat per E-Mail erhalten.

  • Speichern Sie das signierte Zertifikat ab und benennen Sie es um (z.B. <servername>.pem)
  • Das signierte Zertifikat (.pem) muss nun gemeinsam mit der Zertifikatskette (unitrier-ca-chain.pem aus dem chain Verzeichnis) und dem Privaten Schlüssel (<servername>.uni-trier.de.key aus dem out Verzeichnis) auf den Server übertragen werden.

Um das Zertifikat zu installieren müssen die Dateien an die jeweilige korrekte Stelle verschoben werden. Das Script "import-dfn-pem.sh" des Tools der Universität Trier (https://gitlab.uni-trier.de/zimk/operations/certmake) automatisiert diesen Vorgang. Bitte befolgen Sie die Hinweise in der README Datei.

  • cd certmake/out/<servername>.uni-trier.de/
  • ../../import-dfn-pem.sh <path-to-cert>/<servername>.pem <servername-dir> [OPTIONS]

Wenn sie das Import Script nicht verwenden möchten, können Sie die nötigen Schritte auch manuell befolgen:

  • Das Zertifikat muss in das Verzeichnis /etc/ssl/certs verschoben werden.
  • Der Private Schlüssel muss in das Verzeichnis /etc/ssl/private verschoben werden.
  • Die Zertifikatskette muss in das Verzeichnis /etc/ssl/chains verschoben werden. Falls das Verzeichnis nicht existiert kann dieses durch den Befehl sudo mkdir /etc/ssl/chains angelegt werden.

Aus Sicherheitsgründen sollten Sie die Dateiberechtigungen prüfen. Folgende Zugriffsrechte werden für Apache empfohlen:

  • 700 für Verzeichnisse (/etc/ssl/certs, /etc/ssl/chains und /etc/ssl/private).
  • 600 für Dateien (Zertifikat, Private Key und Chain).
  • Als Owner sollte root eingetragen sein.

Wichtig: Der Private Key darf nur dem jeweiligen Benutzer bekannt sein und muss stets geheim gehalten werden. Der Verlust des privaten Schlüssels ist entsprechend kritisch. Sichern Sie diesen daher unbedingt ab. Es wird die Nutzung eines Passwortmanagers wie KeePass empfohlen.

Beispielkonfiguration Apache

Der Folgende Abschnitt kann als Beispielkonfiguration für einen Apache Webserver genutzt werden.

Zuerst muss das SSL-Modul aktiviert werden. Das Modul wurde bereits zusammen mit Apache installiert.

  • sudo a2enmod ssl

Die Folgenden Anweisungen müssen für die Konfiguration in der Datei /etc/apache2/sites-available/<servername>.conf im Abschnitt für den SSL Port 443 hinterlegt werden:

  • SSLEngine on
    • Aktiviert SSL
  • SSLCertificateFile /etc/ssl/certs/<servername>.pem
    • Angabe des Server-Zertifikats
  • SSLCertificateChainFile /etc/ssl/chains/unitrier-ca-chain.pem
    • Angabe der Zertifikatskette
  • SSLCertificateKeyFile /etc/ssl/private/<servername>.key
    • Angabe des privaten Schlüssels

Es kann optional eine SSL Weiterleitung eingerichtet werden.

Installation abgeschlossen

Sie haben nun erfolgreich Ihr Serverzertifikat installiert.