Ubuntu default snakeoil SSL-Zertifikat erneuern
Hinweis: Bitte beachten Sie, dass dieser Artikel / diese Kategorie sich entweder auf ältere Software/Hardware Komponenten bezieht oder aus sonstigen Gründen nicht mehr gewartet wird. Diese Seite wird nicht mehr aktualisiert und ist rein zu Referenzzwecken noch hier im Archiv abrufbar. |
---|
Die standardmäßige SSL-Konfiguration für den Webserver Apache verwendet unter Ubuntu ein selbst-signiertes Zertifikat unter dem Namen snakeoil. Um dieses selbst-signierte Zertifikat zu erneuern wird ein Skript des Packages ssl-cert namens make-ssl-cert eingesetzt.
SSL Konfiguration aktivieren
Die SSL-Konfigurations-Vorlage befindet sich bei Ubuntu unter:
/etc/apache2/sites-available/default-ssl
Das Apache-Werkzeug a2enmod aktiviert die SSL-Konfiguration:[1]
:~$ sudo a2enmod ssl
Enabling module ssl.
See /usr/share/doc/apache2.2-common/README.Debian.gz on how to configure SSL and create self-signed certificates.
To activate the new configuration, you need to run:
service apache2 restart
Daraufhin wurde folgender symbolischer Link erstellt:
:~$ ls -la /etc/apache2/sites-enabled/default-ssl
lrwxrwxrwx 1 root root 30 Jan 30 14:56 /etc/apache2/sites-enabled/default-ssl -> ../sites-available/default-ssl
Default SSL-Zertifikat
In der oben genannten Konfigurationsdatei finden sich die Pfade zur Zertifikats- und Schlüssel-Datei:
:~$ egrep '^\s+SSLCertificate' /etc/apache2/sites-enabled/default-ssl
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
Um Informationen über das Zertifikat anzuzeigen, wird folgender Befehl ausgeführt:[2]
:~$ openssl x509 -in /etc/ssl/certs/ssl-cert-snakeoil.pem -noout -text
Certificate:
[...]
Signature Algorithm: sha1WithRSAEncryption
Issuer: CN=tkmon.local
Validity
Not Before: Apr 25 06:01:54 2014 GMT
Not After : Apr 22 06:01:54 2024 GMT
Subject: CN=tkmon.local
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
[...]
Die Gültigkeit des Zertifikats beträgt, wie in der der obigen Ausgabe unter Validity ersichtlich, 10 Jahre.
Default SSL-Zertifikat erneuern
Das Kommandozeilen-Werkzeug make-ssl-cert aus dem Package ssl-cert:
:~$ dpkg -S make-ssl-cert
ssl-cert: /usr/sbin/make-ssl-cert
ssl-cert: /usr/share/man/man8/make-ssl-cert.8.gz
erneuert das default snakeoil Zertifikat:
:~$ sudo make-ssl-cert generate-default-snakeoil --force-overwrite
:~$ sudo service apache2 restart
* Restarting web server apache2
... waiting
Der am Ende durchgeführte Neustart des Apache-Dienstes ist für ein Neu-Laden des Zertifikats nötig.
Einzelnachweise
- ↑ Ubuntu Server Guide https-configuration (help.ubuntu.com)
- ↑ tldp SSL Certificats HOWTO (tldp.org)
Autor: Georg Schönberger Georg Schönberger, Abteilung DevOps bei der XORTEX eBusiness GmbH, absolvierte an der FH OÖ am Campus Hagenberg sein Studium zum Bachelor Computer- und Mediensicherheit, Studium Master Sichere Informationssysteme. Seit 2015 ist Georg bei XORTEX beschäftigt und arbeitet sehr lösungsorientiert und hat keine Angst vor schwierigen Aufgaben. Zu seinen Hobbys zählt neben Linux auch Tennis, Klettern und Reisen.
|