SSL-Zertifikat verlängern

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
HansWurst
Beiträge: 81
Registriert: 25.10.2004 15:26:39

SSL-Zertifikat verlängern

Beitrag von HansWurst » 27.09.2005 17:49:17

Hi,

ich hab mir so nen kleinen webserver mit apaches und konsorten installiert. Natürlich darf auch SSL nicht fehlen. Also hab ich mir auch ein SSL-Zertifikat erstellt. Nur das läuft ja bloß einen Monat. Wie kann ich das verlängern oder so?

Gruß HW

Benutzeravatar
Joghurt
Beiträge: 5244
Registriert: 30.01.2003 15:27:31
Wohnort: Hamburg
Kontaktdaten:

Beitrag von Joghurt » 27.09.2005 18:07:58

Womit hast du denn das Zertifikat erstellt? Bei "openssl req" heißt die entsprehcende Option -days

HansWurst
Beiträge: 81
Registriert: 25.10.2004 15:26:39

Beitrag von HansWurst » 27.09.2005 18:14:55

Mit apache2-ssl-certificate

zimon
Beiträge: 181
Registriert: 16.01.2003 17:50:53
Wohnort: Schweiz

Beitrag von zimon » 27.09.2005 18:27:49

Hier ein Beispiel für ein Self-Signed Certificate:

Code: Alles auswählen

openssl req -new > server.crt
Dann die gesuchten Infos angeben, wichtig ist, dass Common Name (CN) genau gleich ist, wie dein Host/Vhost name, für welchen das Zertifikat gültig ist.
Password ist beliebig.

Code: Alles auswählen

openssl rsa -in privkey.pem -out server.key
hier das Pw wieder eingeben.

Zum Schluss noch:

Code: Alles auswählen

openssl x509 -in server.crt -out server.cert -req -signkey server.key -days 3650
So gilt das Cert für 10 Jahre - einfach gewünschte Anzahl Tage angeben.

Gruss,
Simon
Debian Sarge Kernel 2.6. (Dual PIII 500Mhz / 768MB RAM, SCSI Hw-Raid5) Apache2, Samba3, Postfix, Bind9, und was so dazu gehört...

HansWurst
Beiträge: 81
Registriert: 25.10.2004 15:26:39

Beitrag von HansWurst » 27.09.2005 18:29:34

Big THX :)

Benutzeravatar
Joghurt
Beiträge: 5244
Registriert: 30.01.2003 15:27:31
Wohnort: Hamburg
Kontaktdaten:

Beitrag von Joghurt » 27.09.2005 21:19:14

zimon hat geschrieben:Hier ein Beispiel für ein Self-Signed Certificate:
Rein interessehalber: geht das auch nicht auch so?

Code: Alles auswählen

openssl req -new -x509 -days 3650 > server.cert
:?:

Athlux
Beiträge: 543
Registriert: 16.05.2004 22:15:56

Beitrag von Athlux » 27.09.2005 22:19:36

bei apache2-ssl-certificate gibt es dafür auch eine Option.
If you want your certificate to expire after x days call this programm
with -days x
Gruß Athlux

KnightRider
Beiträge: 55
Registriert: 13.08.2007 12:42:21
Wohnort: Schweiz
Kontaktdaten:

Beitrag von KnightRider » 19.03.2008 09:57:48

Hallo zusammen

Ich habe vor einiger Zeit auf einem Apache Webserver ein Zertifikat wie folgt erstellt.

Code: Alles auswählen

openssl req -new -x509 -nodes -out server.crt -keyout server.key
Jetzt ist die abgelaufen.
Wie kann ich jetzt dieses Zertifikat verlängern?

Gruss

daniel74
Beiträge: 1755
Registriert: 27.05.2007 14:11:37
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von daniel74 » 20.03.2008 14:02:11

KnightRider hat geschrieben:Hallo zusammen

Ich habe vor einiger Zeit auf einem Apache Webserver ein Zertifikat wie folgt erstellt.

Code: Alles auswählen

openssl req -new -x509 -nodes -out server.crt -keyout server.key
Jetzt ist die abgelaufen.
Wie kann ich jetzt dieses Zertifikat verlängern?

Gruss
Verlängern in dem Sinne ist nicht möglich. Du musst ein neues Zertifikat ausstellen.

Entweder erstellst du eine eigene "CA" und signierst deine Zertifikate selbst oder du lässt diese von einem anderen Anbieter, wie http://www.cacert.org/ oder http://www.startcom.org/ kostenlos ausstellen.

Daniel

KnightRider
Beiträge: 55
Registriert: 13.08.2007 12:42:21
Wohnort: Schweiz
Kontaktdaten:

Beitrag von KnightRider » 25.03.2008 09:42:00

Vielen Dank für die Antwort.

Gruss

commanderdata
Beiträge: 3
Registriert: 12.10.2010 19:55:44

Re: SSL-Zertifikat verlängern

Beitrag von commanderdata » 07.12.2010 01:14:16

Hallo zusammen!

Auch wenn das Thema schon etwas älter ist, habe ich dazu passend noch eine Frage:

Derzeit habe ich auch ein selbsterstelltes Zertifikat, zur Verschlüsselung der Kommunikation zwischen Mail-Clients und MDA/MTA.
Habe es bei Einführung manuell auf jedem Mail-Client als vertraunswürdiges Zertifikat hinterlegt.
Dieses läuft nun bald ab.

Ich spiele nun mit dem Gedanken mir ein kostenpflichtiges Zertifikat zuzulegen - also eins, was ab Windows XP auch automatisch als vertrauenswürdig eingestuft und somit auch automatisch akzeptiert wird.

Meine Frage nun: Kann ich das selbstgemachte Zertifikat am Server durch ein "allgemein akzeptiertes Zertifikat" austauschen, ohne, dass die Mailclients meckern, oder wird auch bei vertrauenswürdig eingestuften Zertifikaten durch den Wechsel eine Meldung kommen, um das neue Zertfikat zu übernehmen / zu bestätigen?

Hintergedanke: Nach Möglichkeit soll der User nichts davon mitkriegen und ungestört seinen Mail-Client weiternutzen...

Gruß,
Commander Data

Antworten