13
Wildcard Zertifikat in Apache2 nutzen
Hallo,
ich habe ein Wildcard Zertifikat für meine Domain, aber leider nur geringe Ahnung davon wie ich es nutze. Ich habe eine .crt und eine .cabundle Datei bekommen und scheitere an jeder Anleitung.
Kann mir jemand eine detailierte Anleitung geben wie ich das ganze zum laufen bekomme?
Ich habe vorallem Probleme mit dem Privatekey des Debian Apache2 Servers. Bei einem normalen Zertfikat stelle ich einen Private Key aus und mache dann daraus das .crt (self signed Zertifikat habe ich erstellt und dies funktioniert auch aktuell), doch bei dem Wildcard Zertifikat muss das ja irgendwie anders laufen.
Wenn ich das so versuche bekomme ich immer: Certificate and private key MyServer.domain.de:443:0 from /etc/apache2/ssl/certificate.crt and /etc/apache2/ssl/ServerXYZ.key do not match
ich habe ein Wildcard Zertifikat für meine Domain, aber leider nur geringe Ahnung davon wie ich es nutze. Ich habe eine .crt und eine .cabundle Datei bekommen und scheitere an jeder Anleitung.
Kann mir jemand eine detailierte Anleitung geben wie ich das ganze zum laufen bekomme?
Ich habe vorallem Probleme mit dem Privatekey des Debian Apache2 Servers. Bei einem normalen Zertfikat stelle ich einen Private Key aus und mache dann daraus das .crt (self signed Zertifikat habe ich erstellt und dies funktioniert auch aktuell), doch bei dem Wildcard Zertifikat muss das ja irgendwie anders laufen.
Wenn ich das so versuche bekomme ich immer: Certificate and private key MyServer.domain.de:443:0 from /etc/apache2/ssl/certificate.crt and /etc/apache2/ssl/ServerXYZ.key do not match
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 352187
Url: https://administrator.de/contentid/352187
Printed on: April 19, 2024 at 23:04 o'clock
13 Comments
Latest comment
Nein, bei Wildcard funktioniert das exakt gleich.
Du nimmst den Private-Key mit dem du den CSR erstellt hast und nimmst die CRT-Datei dazu die du erhalten hast.
Die CABundle-Datei kannst du vorerst ignorieren, bis du es am Laufen hast.
Die Fehlermeldung besagt, dass dein Zertifikat nicht zu dem Private Key gehört, den du versuchst zu benutzen.
Du musst den Key benutzen, mit dem du auch den CSR erstellt hast.
Du nimmst den Private-Key mit dem du den CSR erstellt hast und nimmst die CRT-Datei dazu die du erhalten hast.
Die CABundle-Datei kannst du vorerst ignorieren, bis du es am Laufen hast.
Die Fehlermeldung besagt, dass dein Zertifikat nicht zu dem Private Key gehört, den du versuchst zu benutzen.
Du musst den Key benutzen, mit dem du auch den CSR erstellt hast.
Hallo Vincor,
klopf mal an, müsste man bei einem nicht verkorksten System schnell hinbekommen.
VG
klopf mal an, müsste man bei einem nicht verkorksten System schnell hinbekommen.
VG
Okay ich erstelle mit dem Private Key des Debian Apache eine CSR. Kein Problem, das habe ich schon gemacht als ich das ganze Self Signed über die Windows Server 2012 R2 Zertifizierungstselle gemacht habe.
Aber wie nutze ich die CSR in Verbindung mit dem Wildcard Zertifikat dann. Ich weiß nicht wie ich das miteinander vereine.
Aber wie nutze ich die CSR in Verbindung mit dem Wildcard Zertifikat dann. Ich weiß nicht wie ich das miteinander vereine.
Den CSR brauchst du nicht mehr, der ist nur dafür da, dass dir eine Zertifizierungsstelle ein Zertifikat ausstellen kann.
Du gibst dem Apache deinen Private Key (den richtigen) und das CRT.
Du gibst dem Apache deinen Private Key (den richtigen) und das CRT.
So habe ich den private key erstellt:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key
Dann das wildcard certificate.crt kopiert
SSLCertificateFile /etc/apache2/ssl/certificate.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
restart des apache2 durchgeführt und:
certificate and private key server.domain.de:443:0 from /etc/apache2/ssl/certificate.crt and /etc/apache2/ssl/apache.key do not match
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key
Dann das wildcard certificate.crt kopiert
SSLCertificateFile /etc/apache2/ssl/certificate.crt
SSLCertificateKeyFile /etc/apache2/ssl/apache.key
restart des apache2 durchgeführt und:
certificate and private key server.domain.de:443:0 from /etc/apache2/ssl/certificate.crt and /etc/apache2/ssl/apache.key do not match
"ich habe ein Wildcard Zertifikat für meine Domain"
-woher hast du den? er müsste ja aus irgend einem private key resultieren?
Normalerweise ist ja die Reihenfolge:
PrivateKey --> CSR --> Signiertes Zertifikat
-woher hast du den? er müsste ja aus irgend einem private key resultieren?
Normalerweise ist ja die Reihenfolge:
PrivateKey --> CSR --> Signiertes Zertifikat
Das Wildcard Zert habe ich bei psw.net gekauft und es ist von comodo.
Grade bei Wildcard zertifikaten sollte die normale Reihenfolge ja nicht so sein oder? Ich kenne den normalen weg das ich eien CSR habe und das dem Anbieter schicke und der mir ein "normales" SSL Zertifikat zurückschickt, aber bei Wildcard Zertifikaten soll dies ja grade vermieden werden und man kann all seine Server zertifizieren.
Grade bei Wildcard zertifikaten sollte die normale Reihenfolge ja nicht so sein oder? Ich kenne den normalen weg das ich eien CSR habe und das dem Anbieter schicke und der mir ein "normales" SSL Zertifikat zurückschickt, aber bei Wildcard Zertifikaten soll dies ja grade vermieden werden und man kann all seine Server zertifizieren.
Der Weg ist der exakt gleiche.
Im Namen des Zertifikates steht dann halt "*.deinedomain.tld", das macht es zum Wildcard-Zertifikat.
Kann es sein, dass du...
...deinen CSR über einen anderen Key erzeugt hast?
...deinen Key nach CSR-Generierung versehentlich neu generiert und überschrieben hast?
Im Namen des Zertifikates steht dann halt "*.deinedomain.tld", das macht es zum Wildcard-Zertifikat.
Kann es sein, dass du...
...deinen CSR über einen anderen Key erzeugt hast?
...deinen Key nach CSR-Generierung versehentlich neu generiert und überschrieben hast?
Der einzige Unterschied zwischen "normal" und "wildcard" ist das man beim Wilcard beliebige subdomains damit abdeckt, also neben domain.com auch site1.domain.com
Ich kenne psw.net nicht, aber wenn du das ding "gekauft" hast, hoffe ich doch das der private key nicht von denen stammt (egal wie "vertrauenswürdig" die sein mögen) - wenn es dir trotzdem nichts ausmacht das die den private key erzeugt haben, dann kannst ihn ja zumindest von denen anfordern.
Ich kenne psw.net nicht, aber wenn du das ding "gekauft" hast, hoffe ich doch das der private key nicht von denen stammt (egal wie "vertrauenswürdig" die sein mögen) - wenn es dir trotzdem nichts ausmacht das die den private key erzeugt haben, dann kannst ihn ja zumindest von denen anfordern.
Okay. Zum Verständnis: was mache ich mit dem generierten CSR? Wie ist da das vorgehen wenn ich openssl benutze?
So wie ich das sehe, gibts zu das CSR auf der Webseite von PSW ein, beim Bestellprozess:
https://www.psw-group.de/shop/order/step/certificate-signing-request
Eine gute Anleitung zum Prozess Key>CSR findest du hier:
https://wiki.ubuntuusers.de/Apache/SSL/#SSL-Zertifikat-von-CA-anfordern
https://www.psw-group.de/shop/order/step/certificate-signing-request
Eine gute Anleitung zum Prozess Key>CSR findest du hier:
https://wiki.ubuntuusers.de/Apache/SSL/#SSL-Zertifikat-von-CA-anfordern
Ja aber mit einer CSR zu einem Bestellprozess gehen oder eine CSR zu nutzen würde doch dem Wildcard Zertifikat ab absurdum führen.
Herrje, hier einmal zum Verständnis:
Du generierst einen private Key und willst für den jetzt ein Zertifikat haben. Da du jetzt natürlich niemandem deinen Private Key geben solltest, kommt der CSR (Certificate Signing Request). Dieser wird über den von dir generierten Private Key gebildet und mit ein paar zusätzlichen Daten (z.B. Name des Zertifikates) versehen und an die Zertifizierungsstelle geschickt.
Die haben dann alle Daten, die sie über deinen Private Key wissen müssen und können dir ein Zertifikat für ebendiesen Key ausstellen ohne ihn jemals in der Hand gehabt haben zu müssen.
Sobald du das Zertifikat hast, kannst du den CSR wegschmeißen, den brauchst du nicht mehr.
Jetzt nimmst du deinen Private Key vom Anfang und das erhaltene Zertifikat und arbeitest damit.
Deine Fehlermeldung kommt daher, dass du versuchst einen Private Key zu nutzen, der nicht zu diesem Zertifikat passt.
Entweder weil du ihn versehentlich mit einem neu generierten überschrieben hast, nachdem du den CSR generiert hattest, oder weil du gerade mit deinen Dateien durcheinander kommst.
Fakt ist, dass du einen anderen Key für den CSR benutzt hast als du jetzt versuchst zu verwenden.
Ein Private Key und und ein Zertifikat gehören immer fest und untrennbar zusammen. Wird der Key oder das Zertifikat ausgetauscht passen sie nicht mehr und du erhältst besagte Fehlermeldung.
Daher tippe ich darauf, dass du entweder den CSR nicht über den Key erzeugt hast (sondern einfach einen alten nochmal benutzt) oder irgendetwas deinem Key zugestoßen ist, dass er nicht mehr zum CSR passt.
Laufe notfalls zu PSW, beschreibe ihnen was nicht funktioniert und sie stellen dir (mit einem neuen CSR!!) normalerweise kostenfrei ein neues Zertifikat aus.
"Nutzen" kann man den CSR in dem Sinne nicht - er ist ausschließlich für den Bestellprozess konzipiert, da wird nichts ad absurdum geführt. Der CSR ist nur dafür da, damit du dir von irgendwem ein Zertifikat ausstellen lässt, danach kannst du ihn wieder löschen.
Und versteife dich bitte nicht darauf, dass Wildcard-Zertifikate etwas besonderes wären. Da wird nur in den Namen "*.deinedomain.tld" eingetragen anstelle von "www.deinedomain.tld". Da ist technisch absolut überhaupt gar kein Unterschied. Das gesamte Prozedere mit CSR und so drumherum bleibt absolut identisch.
Du generierst einen private Key und willst für den jetzt ein Zertifikat haben. Da du jetzt natürlich niemandem deinen Private Key geben solltest, kommt der CSR (Certificate Signing Request). Dieser wird über den von dir generierten Private Key gebildet und mit ein paar zusätzlichen Daten (z.B. Name des Zertifikates) versehen und an die Zertifizierungsstelle geschickt.
Die haben dann alle Daten, die sie über deinen Private Key wissen müssen und können dir ein Zertifikat für ebendiesen Key ausstellen ohne ihn jemals in der Hand gehabt haben zu müssen.
Sobald du das Zertifikat hast, kannst du den CSR wegschmeißen, den brauchst du nicht mehr.
Jetzt nimmst du deinen Private Key vom Anfang und das erhaltene Zertifikat und arbeitest damit.
Deine Fehlermeldung kommt daher, dass du versuchst einen Private Key zu nutzen, der nicht zu diesem Zertifikat passt.
Entweder weil du ihn versehentlich mit einem neu generierten überschrieben hast, nachdem du den CSR generiert hattest, oder weil du gerade mit deinen Dateien durcheinander kommst.
Fakt ist, dass du einen anderen Key für den CSR benutzt hast als du jetzt versuchst zu verwenden.
Ein Private Key und und ein Zertifikat gehören immer fest und untrennbar zusammen. Wird der Key oder das Zertifikat ausgetauscht passen sie nicht mehr und du erhältst besagte Fehlermeldung.
Daher tippe ich darauf, dass du entweder den CSR nicht über den Key erzeugt hast (sondern einfach einen alten nochmal benutzt) oder irgendetwas deinem Key zugestoßen ist, dass er nicht mehr zum CSR passt.
Laufe notfalls zu PSW, beschreibe ihnen was nicht funktioniert und sie stellen dir (mit einem neuen CSR!!) normalerweise kostenfrei ein neues Zertifikat aus.
Zitat von @Vincor:
Ja aber mit einer CSR zu einem Bestellprozess gehen oder eine CSR zu nutzen würde doch dem Wildcard Zertifikat ab absurdum führen.
Ja aber mit einer CSR zu einem Bestellprozess gehen oder eine CSR zu nutzen würde doch dem Wildcard Zertifikat ab absurdum führen.
"Nutzen" kann man den CSR in dem Sinne nicht - er ist ausschließlich für den Bestellprozess konzipiert, da wird nichts ad absurdum geführt. Der CSR ist nur dafür da, damit du dir von irgendwem ein Zertifikat ausstellen lässt, danach kannst du ihn wieder löschen.
Und versteife dich bitte nicht darauf, dass Wildcard-Zertifikate etwas besonderes wären. Da wird nur in den Namen "*.deinedomain.tld" eingetragen anstelle von "www.deinedomain.tld". Da ist technisch absolut überhaupt gar kein Unterschied. Das gesamte Prozedere mit CSR und so drumherum bleibt absolut identisch.
