Sicheres E-Mail Teil 4: Zertifikate für Apache / Webmail

Matthias Leisi

Sunday, August 13. 2006

Sicheres E-Mail Teil 4: Zertifikate für Apache / Webmail

In den bisherigen drei Teilen dieser Serie haben wir folgendes gemacht:

  • Erstellen einer CA (Server- und User-CA-Zertifikate)
  • Erstellen von Server-Zertifikaten für Postfix und Cyrus IMAPD
  • Einfügen dieser Zertifikate in Thunderbird (oder jeden sonstigen Mailclient)

In diesem Teil geht es darum, dem Apache Webserver ein Serverzertifikat zu verpassen und ihn so einzurichten, dass man auf ein installiertes Webmail via HTTPS zugreifen kann. Die folgenden Angaben sind leicht distributionsabhängig.

Apache mit SSL konfigurieren

Defaultmässig wird der Apache meistens ohne SSL gestartet. Unter Suse 10.1 genügt es, in /etc/sysconfig/apache2 im Eintrag APACHE_SERVER_FLAGS “SSL” hinzuzufügen und den Apache neu zu starten.

In der Konfiguration des virtuellen Hosts (oder des Hauptservers, je nach Konfiguration) kann man danach SSL konfigurieren. Wiederum unter Suse 10.1 genügt es, eine Datei mail.leisi.net.conf in /etc/apache2/vhosts.d/ zu erstellen, die folgende Elemente beinhaltet:


    ServerName mail.leisi.net


    SSLEngine on
    SSLCertificateFile    /etc/apache2/ssl.crt/mail.leisi.net.crt
    SSLCertificateKeyFile /etc/apache2/ssl.key/mail.leisi.net.key

    [...]

Die Dateien sind die gleichen, wie wir sie schon für Postfix und den Cyrus IMAPD verwendet haben, allerdings gemäss Apache-Konvention umbenannt (*.crt für das Zertifikat, *.key für den privaten Schlüssel).

Überprüfung

Im Browser (zum Beispiel Firefox oder Konqueror) muss man jetzt noch das Server-CA-Zertifikat importieren (srv.cert.pem). Danach wird das Zertifikat jeder Webseite, das mit dem Server-CA-Zertifikat erstellt wurde, als gültig anerkannt.

Falls die Überprüfung einen Fehler anzeigt, ist wahrscheinlich das Server-CA-Zertifikat nicht importiert worden, oder das Webserver-Zertifikat wurde nicht mit dem importierten Server-CA-Zertifikat ausgestellt.

Posted by Matthias Leisi in Mail, Security at 12:04 | Comments (0) | Trackbacks (0)

Trackbacks
Trackback specific URI for this entry

No Trackbacks

Comments
Display comments as (Linear | Threaded)

No comments

Add Comment

Textile-formatting allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA
 
 

Quicksearch

Kategorien


All categories

Sicheres E-Mail

Einführung
CA
Postfix
Cyrus IMAP
Apache
Signieren

Postfix: TLS erzwingen für eingehende / ausgehende Mails

TLS Statistik
Test-Script
OpenSSL Cheat Sheet

Blog abonnieren

Add Google Reader

Blog Administration

Open login screen

Rights & Wrongs

Creative Commons License - Some Rights Reserved
Original content in this work is licensed under a Creative Commons License