In dieser Anleitung beschreibe ich, wie man ein Zertifikat (in diesem Fall eines von StartCom) für einen Apache Webserver verwendet, wenn bei dem Erstellen der Zertifikats der Kryptographie-Provider des Internet Explorers verwendet wurde. Folglich findet man keinen privaten Schlüssel und kann das Zertifikat nicht ohne weiteres mit Apache verwenden.
Folgende Schritte müssen ausgeführt werden, um den privaten Schlüssel für Apache zu exportieren:
- In die Internetoptionen des Internet Explorers wechseln
- Auf den Tab "Inhalte" klicken
- Auf die Schaltfläche "Zertifikate" klicken
- Nun das jeweilige Zertifikat auswählen
- Auf Schaltfläche "Exportieren..." klicken
- Bild
- Im Assistenten auf "Weiter" klicken
- Bild
- Optioen wählen und auf "Weiter" klicken
- Bild
- Auf "Weiter" klicken
- Bild
- Kennwort festlegen und notieren (wird später wieder benötigt!)
- Bild
- Dateinamen festlegen und auf "Weiter" klicken.
- Bild
- Auf "Fertig stellen" klicken.
- Nun wurde eine PFX-Datei generiert, welche einen verschlüsselten privaten Schlüssel enthält. Im nächsten Schritt werden wir den Schlüssel für die Verwendung mit Apache im Klartext in einer neuen Datei speichern. Hierzu wird die Windows-Version von OpenSSL verwendet. Diese kann unter https://indy.fulgan.com/SSL/ heruntergeladen werden. Alternativ kann hier natürlich auch OpenSSL auf einem Linux-System verwendet werden.
- Die Dateien in der ZIP-Datei extrahieren und die PFX-Datei am besten in das gleiche Verzeichnis kopieren.
- Nun mit gedrückter Shift-Taste in einer leeren Bereich im OpenSSL-Verzeichnis mit der rechten Maustaste klicken und dort "Eingabeaufforderung hier öffnen" auswählen.
- Nun in der Kommandozeile folgenden Befehl eingeben:
openssl pkcs12 -in <Exportierte PFX-Datei> -nocerts -nodes -out <Neue Datei mit entschlüsselten privaten Schlüssel>Nun das oben vergebene Kennwort eingeben und mit Return bestätigen.
- Nun bearbeiten wir die generierte Datei so, dass der private Schlüssel von den Werten
-----BEGIN PRIVATE KEY-----sowie
-----END PRIVATE KEY-----umschlossen wird. Den Text vor und nach (auch leere Zeilen!) diesen Werten entfernen, so dass nur noch der private Schlüssel in der Datei steht, also so:
-----BEGIN PRIVATE KEY----- <String> -----END PRIVATE KEY-----Diese Aktion sollte man entweder mit dem Texteditor von WinSCP vornehmen oder mittels Notepad++, um ungewünschte Codierungsprobleme zu umgehen.
- Nun die 2 Zertifikate der ZIP-Datei von StartSSL sowie die bearbeitete KEY-Datei in ein Verzeichnis auf dem Webserver kopieren (Nicht in das Dokumentverzeichnis von Apache!!!)
- Auf dem Webserver die Datei httpd-ssl.conf suchen und dort die Einträge SSLCertificateFile, SSLCertificateKeyFile, SSLCertificateChainFile dementsprechend anpassen.
