SSL
Zertifikate für ssl
Will man SSL nutzen, braucht man in seinem Paket eine eigene IP-Nummer, da dies die Voraussetzung zur Nutzung von ssl-Verschlüsselung ist. Deshalb ist auch nur ein Zertifikat pro Paket möglich.
Hostsharing besitzt ein ssl-Zertifikat, das auch von seinen Mitgliedern genutzt werden kann, die eine eigene IP-Nummer in ihrem Paket haben. Tut man das, muss man aber akzeptieren, dass bei Aufruf des https-Protokolls im Browser eine Fehlermeldung erscheint, da die Domains nicht zusammenpassen.
Wer das vermeiden möchte, kann ein eigenes Zertifikat kaufen und bei Hostsharing nutzen.
Zunächst muss man als Paket-Admin einen private key erzeugen und dann einen CSR. Wie das genau funktioniert, ist meistens von Seiten der Zertifizierungsstelle beschrieben.
Man kann aber auch ein kleines Skript nutzen, das Michael Hierweck aufgrund von einer Anleitung von Michaels Hönnig zur Erzeugung von Zertifikaten geschrieben hat:
#! /bin/sh
#Nur Zugriffe für den Owner erlauben
umask u=rwx,g=,o=
#Zertifikat erzeugen
openssl req -new -x509 -keyout ~/etc/cakey.pem -out ~/etc/careq.pem $*
openssl rsa <~/etc/cakey.pem >~/etc/https.new
cat ~/etc/careq.pem >>~/etc/https.new
#Temporäre Dateien löschen
rm ~/etc/cakey.pem
rm ~/etc/careq.pem
#Altes Zertifikat sichern
cp ~/etc/https.pem ~/etc/https.old
Es können weitere Parameter angeben werden, z.B. -days 370.
Die Domain oder Wildcard (*.domain.TLD) für die das Zertifikat gilt, wird auf die Frage als Common Name angegeben.
Anschließend wird der Zertifizierungsstelle der csr übermittelt. Die Datei, die man dann von der Zertifizierungsstelle erhält, muss in das Verzeichnis /etc des Paketadmins kopiert werden. Das neue Zertifikat muss dann noch manuell aktiviert werden, d.h. in https.pem umbenannt werden. Damit kann man dies zu einem beliebigen späteren Zeitpunkt tun und das Zertifikat vorher prüfen.
Stammzertifikat von Hostsharing
Hostsharing verfügt über ein eigenes Stammzertifikat. Damit ist es möglich, ssl-Verschlüsselung zu nutzen. Die ssl-Verschlüsselung wird zwar von den Browsern nicht als vertrauenswürdig anerkannt, da es nicht von einer Zertifizierungsstelle authentifiziert wurde, aber Hostsharing-Mitglieder vertrauen diesem Zertifikat natürlich trotzdem :-).
Das Stammzertifikat kann von Euch aber in die Liste der vertrauenswürdigen Zertifikate Eures Browsers übernommen werden und unter der folgenden URL direkt in den Browser geladen werden:
http://pacs.hostsharing.net/hostsharing-root-ca.crt
Auf dem Server ist das Zertifikat unter /home/htdocs/hostsharing-root-ca.crt abgelegt.
Es kann unter Windows auch auf die lokale Platte kopiert und dann per Doppelklick installiert werden.
Damit sind dann auch E-Mails mit ssl-Verschlüsselung möglich.
