SSL in FreeBSD einrichten ?

[snoopdog]

Hallo zusammen

Ich habe seit einiger Zeit einen Server auf dem FreeBSD läuft, mit der Konsole kann ich nun schon recht ordentlich arbeiten da es auf dem Server ausser dem phpmy admin keine Grafische Oberfläche gibt musste ich mich mit SSH und der Konsole auseinander stezen.
Soweit läuft alles Prima Server läuft Forum ist drauf alles kein problem.

Nun möchte ich meinen Usern SSL anbieten soweit scheint das ja in FreeBSD schon mit drinn zu sein über locate ssl bekomme ich unmengen an Verzeichnissen angezeigt nur habe ich da keine ahnung wie ich das nun einrichte.

Hier einige Infos zum Server und dem OS:

Apache/2.0.59 (FreeBSD) PHP/4.4.6 with Suhosin-Patch Server

[SSH] Protocol Version 2 (OpenSSH_4.5p1 FreeBSD-20061110)

FreeBSD 6.2-RELEASE (SMP) #0:

/var/db/pkg/php4-openssl-4.4.6
/var/db/pkg/php4-openssl-4.4.6/+COMMENT
/var/db/pkg/php4-openssl-4.4.6/+CONTENTS
/var/db/pkg/php4-openssl-4.4.6/+DESC
/var/db/pkg/php4-openssl-4.4.6/+MTREE_DIRS

Die Voraussetzungen wie eigene IP auf dem Server sind vorhanden und es liegt nur meine Seite dort, ich möchte nun ein Kostenloses selbst erstelltes Zertifikat nutzen ich habe schon einige Informationen über Google gefunden nur waren diese oft etwas verwirrend oder setzen etwas mehr Kenntnis vom OS vorraus als ich habe.

Wenn mir da nun jemand mit einer Anleitung Tips helfen könnte wäre ich sehr Dankbar

MFG
snoopdog

 

[serverzeit.de]

Sorry für die Eigenwerbung:
http://www.serverzeit.de/FreeBSD/webserver-mit-apache/

Da findest du auch Infos wie du ne Firewall etc einrichtest. Du solltest deinen Server auf jeden Fall ausreichend absichern, wenn er über das Internet erreichbar sein soll.

Wegen Zertifikaten würde ich dir folgendes empfehlen (ist seriöser als eigene): http://www.cacert.org

Viel Erfolg. Wenn Fragen sind, einfach melden.

EDIT: Achtung: Meine Anleitung bezieht sich auf Apache1.3. Der Unterschied liegt aber primär in der httpd.conf. Das Prinzip ist aber ähnlich.

 

[snoopdog]

Hi

Danke für deine Antwort es sind also nur schritt 5-7 auszuführen und dann geht das ? Ist der Server dann schon über SSL erreichbar ?

Das wäre wirklich einfach !

Kann dabei etwas schiefgehen ? Da meine Seite ja schon auf dem Server Online ist frag ich lieber nochmal nach.

Wegen der Sicherheit wie Firewall usw musste ich mich nicht drum kümmern das macht mein Hoster / Sponsor. Ich könnte ja auch ihn bitten das für mich zu machen aber erstens möchte ich ihn nicht schon wieder mit meinen Anliegen nerven und zweitens lerne ich ja dadurch auch nichts.

Das mit dem Zertifikat wissen die User schon und sind einverstanden wenn wir das so machen es selbst erstellen es werden keine Privaten Daten oder sowas ausgetauscht.

Edit:

Das 1024 kann ich auf 128 umstellen mehr brauchts da wirklich nicht ich möchte den Server nicht zu sehr damit belasten.

 

[serverzeit.de]

Lass mal ruhig die 1024, sosehr belastet das deinen Server schon nicht Habe es aber ehrlich gesagt noch nie mit weniger ausprobiert.

Schiefgehen kann da nix. Mit den genannten Schritten erstellst du lediglich das selbsterstellte Zertifikat. Auf der Folgeseite wird dann beschrieben wie du für den Apache13 (!) die httpd.conf ändern musst. Erst dann kann das Auswirkungen auf den Server haben, aber nicht auf die Dateien die dort liegen (also lieber ne Kopie von der httpd.conf machen).

Hast du immernoch den Apache2 im Einsatz oder bist du umgestiegen?

Wenn du Apache2 verwendest, musst du die VirtualHosts in der Datei /usr/local/etc/apache2/ssl.conf eintragen. Das ist bei Apache13 anders. Die VirtualHost-Einträge sind aber meines Wissens nach identisch zu denen in meiner Beispiel-httpd.conf auf der Folgeseite (Apache konfigurieren).

Und lass dir von deinem Sponsor mal ne Jail einrichten, dann kannst du rumprobieren ohne den eigentlichen Server zu schädigen.

HINWEIS: Für Apache2 ist vielleicht auch folgende Anleitung interessant, die weist noch auf die Unterschiede zum Apache2 hin: http://www.bsdguides.org/guides/freebsd/webserver/apache_ssl_php_mysql.php

 

[snoopdog]

Ok

ich ersuch das jetzt mal soweit bis zur appache config zu erstellen dann wird etwas kniffeliger für mich da ich wirklich nur Basis Wissen hab (noch).

Wie kann ich über die Konsole Ordner erstellen ? Bisher hatte ich das noch nicht gebraucht.

Ja ich habe noch den appache 2

Aus deiner config brauche ich ja eigendlich nur den Teil SSL in meine zu übertragen oder Grob gesagt jetzt) Die anderen einstellungen können ja so bleiben.

Edit:

Ich soll nach dem ersten befehl zum key erstellen das eingeben:
Enter pass phrase for server.key:
Ok erledigt googel half ich sollte ein pw eingeben....

 

[serverzeit.de]

Ja, einfach den SSL-Teil kopieren, das müsste reichen.

Das Passwort würde ich wieder wie beschrieben entfernen, da du sonst bei jedem Start des Apache ein Passwort eingeben musst. Und das willst du wohl nicht.

Verzeichnisse erstellst du mit "mkdir verzeichnisname"
Achte aber auf die Rechte. Such mal nach "chmod" und "chown". Das is sehr wichtig!!!

 

[diirch]

Moin,

wenn du dir ein kleines script anlegst:
z.B. /usr/local/bin/CreateCert.sh

#!/bin/sh
openssl req -newkey rsa:2048 -config /etc/cert.conf -new -x509 -days 730 -nodes -out ./napalm.cert.cert -keyout ./napalm.cert.key

und dann noch die config Datei:

/etc/cert.conf

RANDFILE = /dev/random

[ req ]
default_bit = 4096
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName = DE
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName =
stateOrProvinceName_default =
localityName =
localityName_default =
organizationName = Chaos_Inc.
organizationName_default = Chaos_Inc.
organizationName_max = 64
organizationalUnitName = one
organizationalUnitName_defaut = one
organizationalUnitName_max = 64
commonName = www.beispiel.com
commonName_default = www.beispiel.com
commonName_max = 64
emailAddress = ich@mydomain
emailAddress_default = ich@mydomain
emailAddress_max = 40

anlegst kannst du dir eine menge getippe ersparen wenn du öfter
mal Zertifikate brauchst.

Einfach in dem Ordner wo die cert´s hin sollen:
CreateCert.sh ausfüren.

Gruss Diirch