HOWTO: SSL für lau – Kostenloses Zertifikat mit STARTSSL einrichten

Deine Website mit einem SSL-Zertifikat, das von einer zugelassenen Certificate Authority ausgestellt wurde und somit im Browser auch keine Warnmeldung verursacht? Und das zum Nulltarif? Bis vor 2 Wochen dachte ich, dies wäre nicht möglich! Zertifikat von Verisign&Co kenne ich schon etwas länger, doch diese sind für kleine Hobbyprogrammierer und Kleinunternehmer viel zu teuer. Der israelische Anbieter StartCOM bietet diese, für ein Jahr gültigen, Zertifikate kostenlos an und wie das ganze Funktioniert erzähle ich euch nun.

Um eure Domain SSL-tauglich zu machen müsst ihr euch zunächst bei StartSSL, dem SSL Portal von StartCOM registrieren. Bitte lest auch die Hinweise =)

Die StartSSL™ Free (Kategorie 1) Bescheinigungen sind Domain oder Email validiert und als die kostenlosen digitalen Zertifikate bekannt. Weil die Überprüfungen mehrheitlich mit elektronischen Mitteln durchgeführt werden, erfordern sie nur minimale Intervention von unserer Seite. Die Überprüfungen sind dazu da, um sicherzustellen, dass Sie der Inhaber des Domain Namen, resp. des Emailkonto sind. Sie können zusätzliche Informationen über dieses Thema in unserer finden

Während des Registrationsprozesses wird bei euch ein SSL-Zertifikat auf dem PC installiert, bitte verliert dieses nicht -> ihr benötigt es jedes Mal wenn ihr euch anmelden wollt. Wie ihr euer Zertifikat im Firefox sichert steht hier und für die Internet Explorer Nutzer gibt bei MS Support Hilfe.

Danach müsst ihr noch eure Emailadresse und eure Domain validieren, dies geht über den Validations Wizard im Kontrollpanel.

Das Tutorial ( Erzeugung eines Zertifikats mit StartSSL):

1. Wir wechseln in unser SSL Verzeichnis mit cd /etc/ssl/private/
2. Grundsätzlich ist der Ablauf  immer der Gleiche. Zunächst generiert man sich ein Schlüsselpaar (einen öffentlichen und einen privaten Schlüssel). Unter Linux erledigt man dies mit openssl genrsa -out example.com.key 2048

   Es werden 2048 Bit lange Schüssel erzeugt ( keys )  in der Datei example.com.key gespeichert.

3. Danach muss aus dem Schlüssel ein sogenannter Certificate Signing Request (CSR) erzeugt werden, dieser enthält Angaben zum Inhaber des Schlüssels wie Organisation, Land, Ort, E-Mail-Adresse und WICHTIG: die Adresse des Servers (Common Name, CN) für die das Zertifikat ausgestellt werden soll, also www.example.com. Dazu verwenden wir den Befehlopenssl req -new -key example.com.key -out example.com.csr
4. Mit einem Editor ( vorzugsweise pico ) öffnen wir nun die example.com.csr mit dem Befehl

   pico example.com.csr
   und kopieren den Inhalt nach StartSSL.com in den zuvor gestarteten Certicate Wizard.
   

5. Im Anschluss generiert StartSSL das Zertifikat und bietet es als Base64-codierten Text an. Um das Zertifikat auf dem eigenen PC zu speichern, markiert man den gesamten Text inklusive der Markierungen

   —–BEGIN CERTIFICATE—–
   …
   —–END CERTIFICATE—–

6. Nun wechseln wir in das Zertifikat Verzeichnis mit cd /etc/ssl/certs/
7. Den zuvor kopierten Text fügen wir nun in die .CRT Datei im Ordner certs ein
   
   pico example.com.crt
   -> mit Rechtsklick um den zuvor kopierten Text einzufügen und dann speichern
   

Das Tutorial Teil 2 (das Zertifikat für Apache2 nutzen), folgt die Tage =)