6. Feb 2014
Ein neues SSL-Zertifikat in der Blogfarm
In den letzten Wochen hat sich einiges in der Blogfarm getan. Es wurde das aktuelle WordPress eingespielt und alle Sites, die eine eigenständige Domain haben, lassen sich nun endlich dank eines SAN-Zertifikates sauber mittels SSL (https://) erreichen.
SAN steht für Subject Alternative Names und ist eine Erweiterung im Zertifikat, wodurch es möglich ist eine Vielzahl von DNS-Namen mit einem einzigen Zertifikat abzudecken. Der Blog-Server ist leider (noch) nicht in der Lage, abhängig von der aufgerufenen Adresse ein passendes Zertifikat zurück zu geben.
Erstellung eines SAN-Zertifikates für die PKI der MLU
-
Erstellen einer angepassten Konfigurationsdatei für openssl
Dazu die Datei openssl.conf kopieren und als ssl-altnames.conf in einem eigenen Ordner speichern, am besten dort, wo auch das Zertifikat aufbewahrt werden soll.
Es müssen ein paar Zeilen bearbeitet bzw. hinzugefügt werden:
- Im Block [ req ] muss folgende Zeile ergänzt/entkommentiert werden:
[ req ] req_extensions = v3_req
- Im Block [ v3_req ] folgende Zeile eintragen:
[v3_req] subjectAltName=@alt_names
- Neuen Block [ alt_names ] am Ende der Datei erstellen
→ Der erste Eintrag in der Liste sollte dabei grundsätzlich die gleiche Adresse haben, wie das zertifizierte Subject.[ alt_names ] DNS.1 = {meins}.uni-halle.de DNS.2 = {nocheins}.uni-halle.de ...
- Im Block [ req ] muss folgende Zeile ergänzt/entkommentiert werden:
-
Request-Datei erstellen
openssl req -newkey rsa:2048 -keyout key.pem -out request.pem -subj '/C=DE/ST=Sachsen-Anhalt/L=Halle/O=Martin-Luther-Universitaet Halle-Wittenberg/OU=URZ/CN={meins}.uni-halle.de/' -config ssl-altnames.conf
-
Zertifikat beantragen
Das Signieren und das Entpacken des Schlüssels erfolgt dann analog zur Anleitung auf http://webdoc2.urz.uni-halle.de/
siehe auch http://wiki.gwdg.de/index.php/Erzeugung_von_Zertifikatantraegen_mit_Subject_Alternative_Name_fuer_virtuelle_Webserver_auf_Basis_von_OpenSSL_fuer_die_DFN-PKI#Das_Feld_.E2.80.9ESubject_Alternative_Name.E2.80.9C_.28SAN.29