SSL Gentoo OVH

Was ist das?

SSL (Secure Socket Layer) wird verwendet um Informationen zwischen zwei Maschinen verschlüsselt auszutauschen. Normalerweise geschieht dies zwsichen einem Client und einem Server. Dies kann auf Ihrem Server genutzt werden, um die Übertragung vertraulicher Informationen zu schützen. Beispielsweise eine Onlinezahlung. Seine Verwendung wird in der Adresszeile durch HTTPS angezeigt.







Schritte

Voraussetzungen

  1. Eine Domain bei OVH

  2. Ein SSL Zertifikat für diese Domain oder eine Ihrer Subdomains (www.meine_domain.de in diesem Beispiel)

  3. Einen dedizierten Server mit Gentoo OVH Release 2

  4. SSH Zugriff auf den Server z.B. via Putty

  5. Der Private Key, die Zertifikatskette und das Zertifikat wurden bereits von Ihnen im Ordner /root/ auf dem Server abgelegt.

  6. In diesem Beispiel wird die Installation auf der Fail-Over-IP: 87.xxx.xxx.xxx stattfinden, die zuvor wie hier beschrieben eingerichtet wurde: Fail-Over-IP Hinzufügen

Named Konfiguration

  1. Editieren Sie die Datei /var/bind/pri/mon-domaine.com.hosts und fügen Sie die Fail-Over-IP für die Domain oder Subdomain Ihres Zertifikates ein, hier www.meine_domain.de:

    Denken Sie daran, die SOA Seriennummer auf das aktuelle Datum einzustellen: 2010071501

    supportgentoo ~ # cat /var/bind/pri/meine_domain.de.hosts
    $ttl 86400
    meine_domain.de. IN SOA meine_domain.de. webmaster.meine_domain.de. (
    2010071501
    21600
    3600
    604800
    86400 )
    IN NS nsXXXX.ovh.net.
    IN NS sdns#.ovh.net.
    IN MX 10 mail.meine_domain.de.
    IN A 213.xxx.xxx.xxx
    www IN A 87.xx.xxx.xx
    ftp IN A 213.xxx.xxx.xxx
    mail IN A 213.xxx.xxx.xxx


    Dann named neustarten:
    supportgentoo ~ # /etc/init.d/named restart


SSL Zertifikat einrichten

  1. Als ersten Schritt werden wir die Privatekeydatei in /etc/httpd/ssl.key/ ablegen

    supportgentoo ~ # cd /etc/httpd/ssl.key/
    supportgentoo ssl.key # cp /root/private.key ./
    supportgentoo ssl.key # pwd ; ll private.key
    /etc/httpd/ssl.key
    -rw-r--r-- 1 root root 1743 oct 31 14:42 private.key
    supportgentoo ssl.key # chmod 400 private.key
    supportgentoo ssl.key # pwd ; ll private.key
    /etc/httpd/ssl.key
    -r-------- 1 root root 1743 oct 31 14:42 private.key
    supportgentoo ssl.key #

    Damit Apache nicht bei jedem Neustart nach dem Private Key fragt, wird empfohlen, den Key im Voraus zu entschlüsseln:
    openssl rsa -in private.key > private-deprotect.key

    Wenn Sie diese Methode Nutzen, ersetzen Sie später in der Hilfe private.key durch private-deprotect.key .

  2. Laden Sie die .crt von MANAGER >> SSL Zertifikate >> Das SSL Zertifikat abrufen herunter und kopieren Sie sie dann nach /etc/httpd/ssl.crt/

    supportgentoo ssl.key # cd /etc/httpd/ssl.crt/
    supportgentoo ssl.crt # cp /root/certificate-chain.crt ./
    supportgentoo ssl.crt # cp /root/certificate.crt ./
    supportgentoo ssl.crt # pwd ; ll certificate*
    /etc/httpd/ssl.crt
    -rw-r--r-- 1 root root 5637 oct 31 14:44 certificate-chain.crt
    -rw-r--r-- 1 root root 1982 oct 31 14:44 certificate.crt
    supportgentoo ssl.crt #

  3. VirtualHost-Konfiguration

    Zuerst prüfen wir, ob Apache auf Port 443 lauscht. Wenn Listen 443 auskommentiert ist, muss das # entfernt werden.
    supportgentoo ssl.crt # grep ^Listen /etc/httpd/ssl.conf
    Listen 443
    supportgentoo ssl.crt #


    Danach die Datei /etc/httpd/ssl.conf editieren

    Hier gibt es drei Pflichtelemente:
    - Der Private Key
    - Zertifikat
    - Die Zertifikatskette

    Dann diese Zeilen vor </IfDefine> einfügen :

    NameVirtualHost 87.xx.xxx.xx:443

    <VirtualHost 87.xx.xxx.xx:443>
    ServerAdmin postmaster@meine_domain.de
    DocumentRoot /home/meinedom/www
    SuexecUserGroup meinedom users
    Servername www.meine_domain.de
    SSLEngine on
    SSLCertificateFile /etc/httpd/ssl.crt/certificate.crt
    SSLCertificateKeyFile /etc/httpd/ssl.key/private.key
    SSLCACertificateFile /etc/httpd/ssl.crt/certificate-chain.crt
    Customlog logs/meinedom-acces_log combined
    ScriptAlias /cgi-bin/ /home/meinedom/cgi-bin/
    </VirtualHost>

    meinedom ist hier der Login zu Ihrem Ordner /home/meinedom/. Dies sollte bei Ihnen entsprechend anders heißen.

  4. Apache neustarten

    supportgentoo ssl.key # /etc/init.d/apache stop
    * Stopping apache2 ... [ ok ]
    supportgentoo ssl.key # /etc/init.d/apache start
    * Starting apache2 ... [ ok ]
    supportgentoo ssl.key #

    Im Fehlerfall die Logs in /var/log/httpd/error_log
    oder
    /var/log/httpd/error_ssl_log     prüfen.

    Geben Sie, wenn Verlangt, Ihren passphrase (Der, den Sie bei der Erstellung des Private Key private.key angegeben hatten) ein:

    Server www.meine_domain.de:443 (RSA)
    Enter pass phrase:

    Überprüfen, ob Apache richtig auf Port 443 läuft:

    supportgentoo root # netstat -tanpu | grep ":443"
    tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 8965/httpd


  5. Zugangstest: https://www.meine_domain.de/