Comments on: Wildcard SSL Zertifikat mit OpenSSL erstellen http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/ ... aus dem Alltag eines Sysadmins Mon, 29 Aug 2011 23:42:29 +0000 hourly 1 http://wordpress.org/?v=3.2.1 By: matthias http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1095 matthias Mon, 30 Mar 2009 18:15:21 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1095 Stefan, das war mir wohl bewusst :) Stefan, das war mir wohl bewusst :)

]]> By: Stefan http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1094 Stefan Mon, 30 Mar 2009 12:28:04 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1094 Hi Matze, ich wollte eben nur sagen, dass das nicht ich, dein Co-Autor, ist! ;) Hi Matze,
ich wollte eben nur sagen, dass das nicht ich, dein Co-Autor, ist! ;)

]]> By: matthias http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1093 matthias Thu, 26 Mar 2009 12:07:04 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1093 @Stefan Es kann nur einen SSL verschlüsselten VHost pro IP geben (der Host Eintrag im HTTP-Header wird erst nach der Verschlüsselung vom Webserver ausgewertet). Somit würde dein Vorkommen schon hier scheitern. Abhilfe könnte evtl. ein neues Apache Modul, mit dem auch mehrere VHosts möglich sind, bringen. Ob es möglich ist ein solches Wildcard Zertifikat zu erstellen, kann ich dir nicht mit Sicherheit sagen. Aber du könntest mal probieren ein selbst signiertes Wildcard Zertifikat mit * als Common Name zu erstellen. @Stefan
Es kann nur einen SSL verschlüsselten VHost pro IP geben (der Host Eintrag im HTTP-Header wird erst nach der Verschlüsselung vom Webserver ausgewertet). Somit würde dein Vorkommen schon hier scheitern. Abhilfe könnte evtl. ein neues Apache Modul, mit dem auch mehrere VHosts möglich sind, bringen.

Ob es möglich ist ein solches Wildcard Zertifikat zu erstellen, kann ich dir nicht mit Sicherheit sagen. Aber du könntest mal probieren ein selbst signiertes Wildcard Zertifikat mit * als Common Name zu erstellen.

]]> By: Stefan http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1092 Stefan Wed, 25 Mar 2009 09:45:42 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1092 Kann man dies noch weiter aufbohren oder lässt sich die IP eines Root-Servers statt der Domain angeben? Wir haben derzeit das "Problem", dass wir viele Domains auf einem Root-Server hosten, aber nicht für jede Domain ein komplettes Set (CA, Cert, ...) erstellen wollen. Kann man dies noch weiter aufbohren oder lässt sich die IP eines Root-Servers statt der Domain angeben?

Wir haben derzeit das “Problem”, dass wir viele Domains auf einem Root-Server hosten, aber nicht für jede Domain ein komplettes Set (CA, Cert, …) erstellen wollen.

]]> By: Zen http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1091 Zen Mon, 13 Oct 2008 15:44:57 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1091 Endlich jemand, der erklärt, dass es tatsächlich *.example.com (!) und nicht example.com im Common Name Schritt sein muss... Danke! Endlich jemand, der erklärt, dass es tatsächlich *.example.com (!) und nicht example.com im Common Name Schritt sein muss… Danke!

]]> By: matthias http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1090 matthias Thu, 18 Oct 2007 04:54:45 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1090 Genau, das geht natürlich auch. Ich bin aber da immer ein bisschen faul und klicke lieber einmal in meinen Clients auf "Immer akzeptieren" anstatt überall das ROOT-CA einzuspielen ;) Aber Recht hast du natürlich! :) Genau, das geht natürlich auch. Ich bin aber da immer ein bisschen faul und klicke lieber einmal in meinen Clients auf “Immer akzeptieren” anstatt überall das ROOT-CA einzuspielen ;)

Aber Recht hast du natürlich! :)

]]> By: Der Adminblogger http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1089 Der Adminblogger Wed, 17 Oct 2007 18:21:36 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1089 > Da es selbstsigniert ist, findet ja auch keine weitere Prüfung > statt - bis auf die “Warnung” die du bekommst bei deinem > Browser, dass es ein selbstsigniertes Zertifikat ist und der > Browser nicht weiß, ob er dem Aussteller trauen kann. Deshalb erstellt man für sich ja auch eine ROOT-CA mit der man alle seine Zertifikate signiert (SMTPS, HTTPS, POP3S, FTPS, ...) und importiert das ROOT-CA in seine Clients (Thunderbird, Firefox, lftp, ...). Fortan gehts dann auch ohne Fehlermeldung, selbst wenn das 10 Jahre gültige Zertifikat mal ablaufen und ersetzt werden sollte ;) Gruß, Marcel (der mit der eigenen CA :) > Da es selbstsigniert ist, findet ja auch keine weitere Prüfung
> statt – bis auf die “Warnung” die du bekommst bei deinem
> Browser, dass es ein selbstsigniertes Zertifikat ist und der
> Browser nicht weiß, ob er dem Aussteller trauen kann.

Deshalb erstellt man für sich ja auch eine ROOT-CA mit der man alle seine Zertifikate signiert (SMTPS, HTTPS, POP3S, FTPS, …) und importiert das ROOT-CA in seine Clients (Thunderbird, Firefox, lftp, …).

Fortan gehts dann auch ohne Fehlermeldung, selbst wenn das 10 Jahre gültige Zertifikat mal ablaufen und ersetzt werden sollte ;)

Gruß,
Marcel (der mit der eigenen CA :)

]]> By: matthias http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1088 matthias Wed, 17 Oct 2007 14:33:45 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1088 Da es selbstsigniert ist, findet ja auch keine weitere Prüfung statt - bis auf die "Warnung" die du bekommst bei deinem Browser, dass es ein selbstsigniertes Zertifikat ist und der Browser nicht weiß, ob er dem Aussteller trauen kann. Die Browser haben ja alle eine bestimmte Anzahl von Root-CA-Zertifikaten "installiert", denen sie dann automatisch trauen. Findet man im Firefox z.B. unter "Einstellungen -> Erweitert -> Zertifikate anzeigen -> Zertifizierungsstellen". BTW: adminlife.net ist jetzt auch verschlüsselt mit einem *echten* Zertifikat (von einer CA signiert). :) Da es selbstsigniert ist, findet ja auch keine weitere Prüfung statt – bis auf die “Warnung” die du bekommst bei deinem Browser, dass es ein selbstsigniertes Zertifikat ist und der Browser nicht weiß, ob er dem Aussteller trauen kann.
Die Browser haben ja alle eine bestimmte Anzahl von Root-CA-Zertifikaten “installiert”, denen sie dann automatisch trauen. Findet man im Firefox z.B. unter “Einstellungen -> Erweitert -> Zertifikate anzeigen -> Zertifizierungsstellen”.

BTW: adminlife.net ist jetzt auch verschlüsselt mit einem *echten* Zertifikat (von einer CA signiert). :)

]]> By: Tobi http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1087 Tobi Wed, 17 Oct 2007 14:18:44 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1087 Das passiert wenn man immer nur streng nach Handbuch arbeitet ohne sich zu fragen was man eigentlich tut. Aber spätestens wenn nach der Verschlüsselung auch die Authentifizierung per SSL erfolgen soll dürfte es doch Probleme geben, oder? Das passiert wenn man immer nur streng nach Handbuch arbeitet ohne sich zu fragen was man eigentlich tut.
Aber spätestens wenn nach der Verschlüsselung auch die Authentifizierung per SSL erfolgen soll dürfte es doch Probleme geben, oder?

]]> By: matthias http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1086 matthias Wed, 17 Oct 2007 14:14:22 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1086 Die CA sagt ja "nur" aus, dass DU wirklich DU bist bzw. die Domain auch wirklich die Domain ist. Aus diesem Grund ist die reine technische Funktion (=Verschlüsselung) auch ohne CA gegeben. Die CA sagt ja “nur” aus, dass DU wirklich DU bist bzw. die Domain auch wirklich die Domain ist. Aus diesem Grund ist die reine technische Funktion (=Verschlüsselung) auch ohne CA gegeben.

]]> By: Tobi http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1085 Tobi Wed, 17 Oct 2007 14:00:30 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1085 Mal ne blöde Frage: Müsste das Zertifikat nicht noch von der CA, und auch wenns die eigene ist, signiert werden? Mal ne blöde Frage:

Müsste das Zertifikat nicht noch von der CA, und auch wenns die eigene ist, signiert werden?

]]> By: matthias http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1084 matthias Wed, 17 Oct 2007 13:58:18 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1084 Hmm, eigentlich nicht. Aber seltsamerweise wird es ja auch von den großen CAs vermarktet und die müssen dann ja auch gegen die RFCs handeln. Funktionieren tut es trotzdem bei allen halbwegs modernen Browsern. Aber wenn etwas gegen die RFCs verstößt, ist das natürlich nie wirklich schön... Hmm, eigentlich nicht. Aber seltsamerweise wird es ja auch von den großen CAs vermarktet und die müssen dann ja auch gegen die RFCs handeln.
Funktionieren tut es trotzdem bei allen halbwegs modernen Browsern. Aber wenn etwas gegen die RFCs verstößt, ist das natürlich nie wirklich schön…

]]> By: JP Mens http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1083 JP Mens Wed, 17 Oct 2007 13:51:26 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1083 Wenn wildcards im DN nicht zulaessig sind, CN aber Teil des DN ist und wildcards enthaelt, dann ist das Ergebnis doch nicht zulaessig, oder? ;-) Wenn wildcards im DN nicht zulaessig sind, CN aber Teil des DN ist und wildcards enthaelt, dann ist das Ergebnis doch nicht zulaessig, oder? ;-)

]]> By: matthias http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1082 matthias Wed, 17 Oct 2007 13:44:43 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1082 Soweit ich weiß wäre dies dann der DN: <i>C="DE", O="Firma", OU="Abteilung", CN="*.domain.tld"</i> Er setzt sich also u.a. aus dem Common Name zusammen, den ich hier ja mit *.domain.tld angegeben habe. Müsste doch also soweit richtig sein, es sei denn ich kann den DN getrennt vom CN definieren. Da steh ich nur leider auf dem Schluch, wie das in diesem Fall geht. :/ Soweit ich weiß wäre dies dann der DN:

C=”DE”, O=”Firma”, OU=”Abteilung”, CN=”*.domain.tld”

Er setzt sich also u.a. aus dem Common Name zusammen, den ich hier ja mit *.domain.tld angegeben habe. Müsste doch also soweit richtig sein, es sei denn ich kann den DN getrennt vom CN definieren. Da steh ich nur leider auf dem Schluch, wie das in diesem Fall geht. :/

]]> By: JP Mens http://www.adminlife.net/howtos/wildcard-ssl-zertifikat-mit-openssl-erstellen/comment-page-1/#comment-1081 JP Mens Wed, 17 Oct 2007 13:14:06 +0000 http://www.adminlife.net/howto/wildcard-ssl-zertifikat-mit-openssl-erstellen/#comment-1081 Das mag funktionnieren, aber wenn ich mich recht entsinne, erlaubt RFC 2459 keine wildcards im Distinguished Name (DN) eines Zertifikates sondern lediglich im <em>subjaltName</em>. Der CN eines Zertifikates sollte somit gleich hostname sein und <em>subjaltName</em> kann demnach "DNS:*.domain.tld" enthalten. Das mag funktionnieren, aber wenn ich mich recht entsinne, erlaubt RFC 2459 keine wildcards im Distinguished Name (DN) eines Zertifikates sondern lediglich im subjaltName. Der CN eines Zertifikates sollte somit gleich hostname sein und subjaltName kann demnach “DNS:*.domain.tld” enthalten.

]]>