Ubuntu default snakeoil SSL-Zertifikat erneuern

Aus Thomas-Krenn-Wiki
Wechseln zu: Navigation, Suche

Die standardmäßige SSL-Konfiguration für den Webserver Apache verwendet unter Ubuntu ein selbst-signiertes Zertifikat unter dem Namen snakeoil. Um dieses selbst-signierte Zertifikat zu erneuern wird ein Skript des Packages ssl-cert namens make-ssl-cert eingesetzt.

SSL Konfiguration aktivieren

Die SSL-Konfigurations-Vorlage befindet sich bei Ubuntu unter:

/etc/apache2/sites-available/default-ssl

Das Apache-Werkzeug a2enmod aktiviert die SSL-Konfiguration:[1]

:~$ sudo a2enmod ssl
Enabling module ssl.
See /usr/share/doc/apache2.2-common/README.Debian.gz on how to configure SSL and create self-signed certificates.
To activate the new configuration, you need to run:
  service apache2 restart

Daraufhin wurde folgender symbolischer Link erstellt:

:~$ ls -la /etc/apache2/sites-enabled/default-ssl 
lrwxrwxrwx 1 root root 30 Jan 30 14:56 /etc/apache2/sites-enabled/default-ssl -> ../sites-available/default-ssl

Default SSL-Zertifikat

In der oben genannten Konfigurationsdatei finden sich die Pfade zur Zertifikats- und Schlüssel-Datei:

:~$ egrep '^\s+SSLCertificate' /etc/apache2/sites-enabled/default-ssl
	SSLCertificateFile    /etc/ssl/certs/ssl-cert-snakeoil.pem
	SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

Um Informationen über das Zertifikat anzuzeigen, wird folgender Befehl ausgeführt:[2]

:~$ openssl x509 -in /etc/ssl/certs/ssl-cert-snakeoil.pem -noout -text
Certificate:
[...]
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: CN=tkmon.local
        Validity
            Not Before: Apr 25 06:01:54 2014 GMT
            Not After : Apr 22 06:01:54 2024 GMT
        Subject: CN=tkmon.local
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
[...]

Die Gültigkeit des Zertifikats beträgt, wie in der der obigen Ausgabe unter Validity ersichtlich, 10 Jahre.

Default SSL-Zertifikat erneuern

Das Kommandozeilen-Werkzeug make-ssl-cert aus dem Package ssl-cert:

:~$ dpkg -S make-ssl-cert
ssl-cert: /usr/sbin/make-ssl-cert
ssl-cert: /usr/share/man/man8/make-ssl-cert.8.gz

erneuert das default snakeoil Zertifikat:

:~$ sudo make-ssl-cert generate-default-snakeoil --force-overwrite
:~$ sudo service apache2 restart
 * Restarting web server apache2                                                                                                 
 ... waiting

Der am Ende durchgeführte Neustart des Apache-Dienstes ist für ein Neu-Laden des Zertifikats nötig.

Einzelnachweise

  1. Ubuntu Server Guide https-configuration (help.ubuntu.com)
  2. tldp SSL Certificats HOWTO (tldp.org)


Foto Georg Schönberger.jpg

Autor: Georg Schönberger

Georg Schönberger, Abteilung DevOps bei der XORTEX eBusiness GmbH, absolvierte an der FH OÖ am Campus Hagenberg sein Studium zum Bachelor Computer- und Mediensicherheit, Studium Master Sichere Informationssysteme. Seit 2015 ist Georg bei XORTEX beschäftigt und arbeitet sehr lösungsorientiert und hat keine Angst vor schwierigen Aufgaben. Zu seinen Hobbys zählt neben Linux auch Tennis, Klettern und Reisen.


Das könnte Sie auch interessieren

Thomas-Krenn Ubuntu Repository
Ubuntu default I/O Scheduler
Xubuntu Live-CD mit VMware Player starten