Dieser Artikel beschreibt die Erstellung und Installation eines SSL-Zertifikats für den Apache 2.x Webserver, sowohl für Linux als auch für Windows.

Erstellen des "private key"

Zunächst ist ein "Private Key" zu generieren. Das SSL-Zertifikat ist nur zusammen mit genau diesem Key gültig. Verliert man den private key, funktioniert auch das Zertifikat nicht mehr. Der private key kann auch nicht aus dem Zertifikat generiert oder sonstwie wiederhergestellt werden. Man sollte also an sicherer Stelle ein Backup des private keys aufbewahren.

Man kann den Key auch noch zusätzlich mit einem Passwort schützen, was aber dazu führt, dass man den Webserver nicht ohne Eingabe dieses Passwortes im SSL-Modus starten kann.

Falls man ein offizielles SSL-Zertifikat hat, der private key nicht mit einem Passwort verschlüsselt und der Server gehackt wird, muss man das Zertifikat bei der Zertifizierungsstelle zurückziehen (revoke). Andernfalls könnte der Hacker das SSL-Zertifikat für eigene Zwecke missbrauchen.

Die Schlüssellänge sollte 2048 oder 4096 Bit betragen (früher waren nur 1024 Bit empfohlen).

Ist der Apache Webserver auf einem Windows System installiert, dann müssen alle folgenden Befehle von der Windows-Eingabeaufforderung (cmd) ausgeführt werden. Das openssl-Executable befindet sich i.d.R. im Apache-Verzeichnis. Ggf. muss man den absoluten Pfadnamen angeben.

$ openssl genrsa -out server.key 4096
Generating RSA private key, 4096 bit long modulus
........................................................+++
..+++
e is 65537 (0x10001)
$

Alternativ hier der Befehl für Verschlüsselung des private keys mit einem Passwort:

$ openssl genrsa -des3 -out server.key 4096
Generating RSA private key, 4096 bit long modulus
..............................................................................++++++
................................................++++++
e is 65537 (0x10001)
Enter pass phrase for server.key: ********
Verifying - Enter pass phrase for server.key: ********
$

Certificate Signing Request (CSR) anlegen

Der CSR enthält die Firmeninformationen, Domainname, Email-Adresse usw. Diese Datei sendet man dann an die Zertifizierungsstelle und erhält das Zertifikat zurück. Alternativ kann man sich aus dem CSR auch ein self-signed certificate erstellen.

Wichtig ist die Angabe der Verschlüsselung - hier muss SHA256 verwendet werden. Der Default von SHA1 ist unsicher.

Der gewünschte Domainname wird im Feld "Common Name (eg, YOUR name)" angegeben.

Die Angabe des Bundesstaates - hier NRW - ist für die Erstellung eines offiziellen Zertifikats meistens erforderlich; nicht benötigte Felder kann man durch Eingabe eines Punktes "." oder durch RETURN überspringen

$ openssl req -new -key server.key -out server.csr -sha256
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:NRW
Locality Name (eg, city) []:Brueggen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Arne Schirmacher
Organizational Unit Name (eg, section) []:.
Common Name (eg, YOUR name) []:www.schirmacher.de
Email Address []:arne@schirmacher.de

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:.
An optional company name []:.
$

Hinweis: Unter Windows kann es erforderlich sein, die Konfigurationsdatei explizit mit -config <Pfad-auf-openssl.cnf> anzugeben.

CSR überprüfen

Mit folgendem Befehl stellt man fest, ob alle Angaben im CSR korrekt sind:

$ openssl req -noout -text -in server.csr
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=DE, ST=NRW, L=Brueggen, O=Arne Schirmacher, CN=www.schirmacher.de/emailAddress=arne@schirmacher.de
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
                    06:d5:15:ed:f8:9a:b7:cf:8b:79:4f:fc:8d:02:0d:
                    1a:d3:26:36:d5:a8:49:07:16:62:6f:1c:da:00:73:
                    ...
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha256WithRSAEncryption
         47:7a:80:2c:bc:8a:e0:36:19:73:6e:cb:6e:0f:07:b6:74:df:
         4e:57:72:c6:0d:58:f8:73:6e:56:45:b4:fa:9b:19:77:d3:81:
         ...
$

Alternativ kann man den CSR auch z.B. online überprüfen lassen. Einfach die CSR Datei mit Copy & Paste in das Formular übertragen.

Self-signed Certificate erstellen

Für Testzwecke kann man sich auch das SSL-Zertifikat selber erstellen. Der einzige Unterschied zu einem offiziellen Zertifikat ist, dass der Webbrowser feststellt, dass es nicht von einer offiziellen Zertifizierungsstelle erstellt wurde. Alle Webbrowser zeigen eine Warnung an, wenn ein solches selbsterstelltes Zertifikat verwendet wird. Die eigentliche Verschlüsselung hingegen ist voll funktionsfähig, d.h. die Zugriffe auf eine mit einem selbsterstellten Zertifikat geschützte Website können ebensowenig entschlüsselt werden wie die Zugriffe auf eine Website mit einem offiziellen SSL-Zertifikat.

Solche selbsterstellten Zertifikate sollten jedoch keinesfalls für öffentlich zugängliche Webserver verwendet werden, und zwar aus folgendem Grund: Wenn viele SSL-Webseiten selbsterstellte Zertifikate verwenden, dann wird der durchschnittliche Internet-Nutzer der Webbrowser-Warnung keine Bedeutung mehr beimessen, und es tritt ein Gewöhnungseffekt ein.

Mit folgendem Befehl wird ein self-signed certificate erstellt, das für 365 Tage gültig ist:

$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=DE/ST=NRW/L=Brueggen/O=Arne Schirmacher/CN=www.schirmacher.de/emailAddress=arne@schirmacher.de
Getting Private key
$

Offizielles SSL-Zertifikat (CRT) bestellen

Um ein "offizielles" SSL-Zertifikat zu erhalten, muss der CSR an die Zertifizierungsstelle übermittelt werden, z.B. durch Ausfüllen eines Online-Bestellformulars. Man erhält dann im allgemeinen einen Downloadlink oder eine Email mit Attachments und eine Rechnung. Nach Prüfung aller Unterlagen ist das Zertifikat erstellt und kann installiert werden.

Bei der Bestellung von SSL Zertifikaten muss man beachten, dass nicht alle Zertifikate gleich sind. Die billigen Zertifikate besagen im Grunde nicht mehr, als dass der Aussteller des Zertifikats das Zertifikat per email an den Inhaber der Domain sendet (admin@domainname.com, hostmaster@domainname.com usw.), wer auch immer das ist. Bei den teureren Zertifikaten wird schon ernsthafter geprüft (Handelsregisterauszug, Personalausweis, telefonischer Rückruf usw.), ob der Inhaber tatsächlich derjenige ist, der er vorgibt zu sein.

Ein weiterer Gesichtspunkt ist die Kompatibilität zu verschiedenen Browsern. Ein "alter" Browser erkennt die Zertifikate eines "neuen" Ausstellers nicht, was für den Endanwender im Grunde dasselbe ist wie ein selbsterstelltes oder gar kein Zertifikat. Dies ist ein Problem mit vielen Billiganbietern. Es handelt sich hierbei zwar um offizielle Zertifikate, die aber nicht mit allen Browsern ohne Fehlermeldung funktionieren. Da die alten Browser jedoch praktisch ausgestorben sind, ist dies im Grunde nicht mehr relevant

Ein billiger und guter Anbieter ist die PSW Group (https://www.psw.net/ssl-zertifikate.cfm), die zahlreiche Zertifikate verschiedener Hersteller liefert. Sollte es mal Probleme geben, bekommt man auch umgehend kompetente Beratung - ein wichtiger Pluspunkt, wenn man ein Zertifikat für den kommerziellen Einsatz benötigt.

Kostenlose SSL-Zertifikate

Die Firma StartCom Ltd. (https://www.startssl.com) liefert kostenlose Zertifikate, die 1 Jahr gültig sind. Der Bestellvorgang ist relativ umständlich, es gibt aber ein schönes Tutorial von Eric Mill: https://konklone.com/post/switch-to-https-now-for-free . Das Zertifikat an sich funktioniert einwandfrei, diese Website verwendet auch eins.

Einige Anbieter stellen ebenfalls kostenlose Zertifikate aus, die aber nur 30 oder 90 Tage gültig sind. Ideal für Testzwecke.

Autorisierung des Zertifikats

Ein domainvalidiertes Zertifikat wird bestätigt, indem die Autorisierungsstelle eine Email an eine Email-Adresse sendet, die in der Domain-Registrierung hinterlegt ist (z.B. hostmaster@domainname.de). Der Empfänger muss dann durch einen Klick auf einen Link das Zertifikat genehmigen.

Die Bestätigung durch einen per Email versendeten Link kann ein Problem werden, wenn es sich um eine größere Organisation handelt. Dazu muss man ja erstmal wissen, wo genau diese Email landet.

Bestellt man bei der PSW Group das etwas teurere "Comodo Silber" Zertifikat, kann man das Zertifikat auch selber bestätigen, muss sich aber vertraglich gegenüber der Autorisierungsstelle verpflichten, seinerseits für den korrekten Einsatz des Zertifikats zu sorgen.

Alternativ kann man auch das Hash Key Verfahren einsetzen (ist z.B. bei dem PositiveSSL Zertifikat möglich). Hierbei versendet die Autorisierungsstelle an den Auftraggeber eine kleine Textdatei mit einer Prüfsumme, der diese Datei dann auf genau dem Webserver ablegen muss, für den das Zertifikat ausgestellt werden soll. Durch Zugriff auf die entsprechende URL prüft dann die Autorisierungsstelle, dass der Auftraggeber Admin-Zugang zu dem Webserver hat. Ist das der Fall, wird wohl alles seine Richtigkeit haben.

Installation des SSL-Zertifikats

Das SSL-Zertifikat wird installiert, indem im Webserver der private Key, das von der Zertifizierungsstelle erstellte Zertifikat und das sogenannte Intermediate Zertifikat  installiert wird. Letzteres wird gelegentlich vergessen, was dazu führt, dass das Zertifikat von den meisten Browsern, aber nicht von allen erkannt wird.

Im Laufe der Zeit hat sich herausgestellt, dass auch eine SSL-Implementierung fehlerhaft oder angreifbar sein kann. Es ist daher ratsam, den Apache Webserver so zu konfigurieren, dass nur die sicheren SSL-Verfahren eingesetzt werden. Die Standard apache2 Konfiguration ist in dieser Hinsicht jedoch nicht optimal.

Hier ist eine bessere SSL Konfiguration:

<IfModule mod_ssl.c>
<VirtualHost *:443>

  #   ...
  #   diverse Standard Anweisungen ausgelassen
 
  #   SSL Engine Switch:
  #   Enable/Disable SSL for this virtual host.
  SSLEngine on  
 
  # die folgenden Anweisungen aktivieren die zur Zeit (Anfang 2015) sicheren SSL Funktionen
  # von Zeit zu Zeit prüfen und anpassen.
  SSLHonorCipherOrder     On
  SSLCipherSuite          HIGH:MEDIUM:!aNULL:!MD5:!RC4

  # Pfade auf SSL Zertifikat, Key und Zwischenzertifikat
 
  SSLCertificateFile      "/etc/apache2/ssl/www_schirmacher_de.crt"
  SSLCertificateKeyFile   "/etc/apache2/ssl/www_schirmacher_de.key"
  SSLCertificateChainFile "/etc/apache2/ssl/www_schirmacher_de.cabundle"
  SSLCACertificatePath    "/etc/ssl/certs"

  #   ...
  #   diverse Default Anweisungen ausgelassen

</VirtualHost>
</IfModule>

SSL Website prüfen

Nach der Installation sollte man die Webseite von einem der einschlägigen Prüfdienste, z.B. Qualys SSL Labs überprüfen lassen. So lassen sich Fehler wie fehlende Zwischenzertifikate, unsichere Verschlüsselungen und dergleichen herausfinden.

Hier das Ergebnis der Überprüfung dieser Website: https://www.ssllabs.com/ssltest/analyze.html?d=www.schirmacher.de

Related articles


24 Comments

  1. Anonymous

    Danke für diese gut erklärte Beschreibung.

    Mit dieser Hilfe bekam ich SSL auf Apache endlich zum Laufen....

  2. Anonymous

    Jau, endlich mal eine richtig gut verständliche Beschreibung zu diesem Thema.

    Bin begeistert, vielen Dank!

    Noch ein paar Fragen dazu:

    • Kann es sein, dass pro IP nur ein Zertifikat möglich ist?
    • Wenn man mehrere Subdomains einer Domain schützen will, gibt es eine Alternative zu den (meiner Meinung nach) maßlos überteuerten Wildcard-Zertifikaten?
    • Kann man z.B. ein Zertifikat auf eine IP (statt Domain) festlegen?

    Vielen Dank soweit !

    1. Administrator

      Richtig, pro IP-Adresse ist nur eine SSL-Verschlüsselung möglich. Man kann für unterschiedliche Domainnamen dieselbe IP-Adresse vergeben. Die Aufteilung auf die verschiedenen Websites macht dann der Apache, meistens über eine "Virtual Hosts" Konfiguration. Der gewünschte Domainname wird nämlich bei jedem GET- oder POST-Request mitgesendet; so kann der Apache rausfinden, welche Website gemeint ist.

      Wenn man eine https: URL verwendet, dann baut der Webbrowser jedoch schon ganz zu Anfang eine SSL-Verbindung zum Apache auf. Er kann dazu aber nur die IP-Adresse verwenden, da der Domainname ja erst gesendet wird, nachdem die Verbindung steht. Folglich kann man nur ein SSL-Zertifikat pro Apache Server installieren. Und mehrere Apache Server auf ein und demselben Server zu installieren ist auch nicht möglich, da nur ein Apache zur Zeit den SSL-Port 443 nutzen kann.

      Verschlüsselung für mehrere Subdomains ist nur mit dem erwähnten WildCard Zertifikat möglich. Hier gilt halt das Prinzip "Angebot und Nachfrage" - da kann man nichts machen.

      Ein SSL-Zertifikat kann nur dann für eine IP-Adresse ausgestellt werden, wenn einem die IP-Adresse auch gehört. Das Zertifikat muss nämlich immer für den Inhaber der Domain bzw. der IP-Adresse generiert werden. Im Gegensatz zu Domainnamen ist es aber relativ schwierig und teuer, eine eigene IP-Adresse zu bekommen.

      1. Anonymous

        Vielen Dank für die Antworten!

        Nochmal eine Rückfrage: 

        > Folglich kann man nur ein SSL-Zertifikat pro Apache Server installieren.

        Wenn man einen Apache Server so konfiguriert, dass er auf zwei IP's hört und jeder dieser IP's in der Konfiguration eine Domain zuweist, dann ist also trotzdem nur ein Zertifikat möglich?

        Riesen Dank nochmal... (smile)

        1. Administrator

          Ok, an diese Möglichkeit habe ich nicht gedacht. Ich habe zwar noch nie einen Apache Server mit 2 IP-Adressen konfiguriert, es müsste aber eigentlich funktionieren.

          1. Anonymous

            Hallo,

            wenn man mehrere IP-Adressen oder verschiedene Ports verwendet, kann man auf jede Kombination von IP-Adresse+Port ein eigenes Zertifikat legen.

            Statt des 443 andere Ports sollte man nur bei Seiten verwenden, die nicht öffentlich sind, da manche Surfer nur auf Port 80 und 443 kommen und auf der 80 vielleicht sogar ein Zwangsproxy sitzt, der nur mit HTTP funktioniert. Für Dich selbst oder eine eingeschränkte Gruppe kannst Du auch ein VPN aufbauen, wo der Webserver mehrere IP-Adressen eines privaten Subnetzes hat.

            Wildcard-Zertifikate gibt es schon für rund 250 Euro. Hab eins von PSW.net.

            Es gibt wohl auch die Möglichkeit, mehrere unterschiedliche Domains mit einem Zertifikat zu authentifizieren, wobei das dann andere unflexible Nachteile hat. Wenn beispielsweise ein Kunde von Dir ein Zertifikat gekauft hat, was in so einem Bündel enthalten ist, kannst Du ihm wahrscheinlich das Zertifikat nicht mitgeben, wenn er umziehen will.

            Wer nur eine einzige IP hat und da drauf mehrere Domains zertifizieren will, kann sich auch selbst ein Zertifikat erstellen, das mehrere Domains zertifiziert. Allerdings ist das sehr kompliziert im Vergleich mit der schön einfachen Anleitung hier.

            Da wäre es interessanter, ein selbstzertifiziertes Wildcard-Zerifikat zu verwenden und dann Subdomains der Zertifizierten Domain. Dazu einfach "*.meinedomain.de" zertifizieren. Die kann dann "xyz.meinedomain.de" authentifizieren, nicht aber www.xyz.meinedomain.de".

            Wenn Du ein Zertifikat für mehrere Domains bzw. ein Wildcardzertifikat hast, kannst Du dahinter Namevirtualhosts legen. (Grundsätzlich kannst Du da auch NameVirtualHost-Domains legen, die nicht mit dem Zertifikat übereinstimmen. Nur erhälst Du dann nicht nur die Fehlermeldung, dass das Zertifikat selbstzertifiziert ist, sondern auch dass das Zertifikat nicht zur angeforderten Domain passt. Aber abgesehn davon funktioniert das)

            Gruß,

            Guntram Trebs

  3. Anonymous

    Hm, also bei Apache 1.3 konnte ich bequem auf einer IP-Adresse mehrere Zertifikate benutzen. Ich habe auf verschiedenen Ports derselben IP ebenso verschiedene virtuelle Hosts betrieben (z. B. 1.2.3.4:8181 -> serv1, 1.2.3.4:8182 -> serv2)und das klappte problemlos.

    Ich kann ja für jedem VirtualHost einen Port definieren, einen ServerName eintragen und ein entsprechendes Zertifikat hinterlegen.

    Listen 8181 

    NameVirtualHost *:8181

    <VirtualHost *:8181>.... </VirtualHost>

    Wie auch immer: die oben stehende Anleitung lese ich immer wieder gerne, wenn ich wieder ein neues selbstsigniertes Zertifikat brauche (wink)

  4. Anonymous

    Das ist alles möglich.

    Man kann SSL Zertifikate entweder "IP-based" oder "Port-based" benutzen. Die Frage ist ob man jemandem zumuten will ne adresse wie:

    https://test@domain.de:1337

    einzutippen.

    Ip basierende Zertifikate sind da schon besesr geeignet. NAtürlich muss man darauf achten in der <VirtualHost> direktive nicht * sonder die ip adresse einzutragen.

    z.B.

    <VirtualHost 123.123.123.123:443>

    .....

    </Virtualhost>

    und

    <VirtualHost 234.234.234.234:443>

    ....

    </Virtualhost>

    Ansonsten wäre das wie erwähnt nur durch "wildcard" zertifikate möglich.

    Selbstsignierte Zertifikate zu benutzen ist sowieso nicht empfehlenswert. Ich empfehle stattdessen eher:

    http://www.cacert.org\\

    Grüße,

    HaC|away 

  5. Anonymous

    Hi,

    danke für die excellente Doku.

    Eine Frage noch ... kann man bei Verwendung eines Key's mit Passphrase die Eingabe der Passphrase beim Starten von Apache automatisieren?

    Thanks ...

    Milagro

    1. Administrator

      Das soll mit der Direktive SSLPassPhraseDialog gehen. Man muss hier den Pfad zu einem Programm angeben, das die gewünschte Passphrase auf stdout ausgibt.

      Alternativ könnte man natürlich auch die Passphrase vom private key entfernen, siehe http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#removepassphrase

  6. Anonymous

    Sehr saubere Doku, die einzige, die mir wirklich geholfen und mit der es funktioniert hat, danke (smile)

  7. Anonymous

    Hallo. Wirklich gut zusammengefasst. Hätte ich das hier mal früher entdeckt, hätte ich mir viel Arbeit und Fehlersuchen gespart. Besonders der Hinweis, dass Zertifikate immer nur IP:Port-basiert funktionieren, hätte mir heute ein paar Stunden des Zweifelns erspart.

    Könnte hier nun auch noch einer schnell zusammenafssen, was ich alles machen muss, damit der Server (die eth0) und Apache auf mehrere IP-Adressen hören? Damit könnte ich meine diversen Zertifikate geregelt bekommen und meine Gäste wären endlich die hässlichen Meldungen los.

    Danke schonmal.

    just

    1. Administrator

      Ich bin mir nicht ganz sicher, ich glaube, man muss in der httpd.conf-Datei und der httpd-ssl.conf lediglich einige weitere Listen-Statements angeben:

      Listen 192.168.1.1:80
Listen 192.168.1.2:80
Listen 192.168.1.3:80

..

Listen 192.168.1.1:443
Listen 192.168.1.2:443
Listen 192.168.1.3:443

      Evtl. die IP-Adressen auch noch im <VirtualHost>-Block eintragen.

      Wenn du einen eigenen Server hast, dann hängt es vom Anbieter ab, ob du überhaupt mehrere IP-Adressen verwenden kannst und wie sie zu konfigurieren sind. Normalerweise sollten diese zusätzlichen IP-Adressen in der Grundkonfiguration bereits zur Verfügung stehen. Ein ifconfig -a zeigt die aktive Netzwerkkonfiguration an.

  8. Anonymous

    Mittlerweile kann man mit GNUTLS dem Apache auch named based Virtual Hosting beibrigen.

    http://www.g-loaded.eu/2007/08/10/ssl-enabled-name-based-apache-virtual-hosts-with-mod_gnutls/

    Anhand dieser Anleitung selbst nachvollzogen.

    Gruss,

    Jörg

  9. Anonymous

    Hallo,

    ich habe diese Site auf meiner verzweifelten Suche nach einer Lösung via Google gefunden.

    Zur Sache:

    1. Ich bin Amateur (viel try and error);

    2. Haben eine Website (gehostet bei MyDomain.com)

    3. Brauchen Zertifikat für unsere Mitgliederregistrierung

    4. Haben über MyDomain bei Thawte ein sogen. 123Cert gekauft und bei MyDomain (Apache, Linux...) installiert

    5. Nun haben wir das Problem, daß bei Aufruf der Seite mittels (z. B.) InternetExplorer https://www... immer die Medlung kommt, daß mit dem Zertifikat der Website etwas nicht stimme und vom Aufruf der Site abgeraten werde.

    6. Leider hat MyDomain keinen so guten Service, weshalb wir keine recht Lösung finden.

    7. Deshalb bitte ich um Verständnis, daß ich hier eine wahrscheinlich dumme Frage stelle: Muß ich am Code meiner Website noch etwas ändern (etwa in der index.htm)?

    Vielen Dank.

    Frank

    1. Administrator

      Wahrscheinlich ist das Zertifikat nicht richtig installiert, oder man braucht noch ein Zwischenzertifikat, oder der Domainname ist nicht korrekt. Um welche Website handelt es sich? Link evtl. per mail an arne@schirmacher.de schicken.

  10. Anonymous

    Hey Ho...

    also wenn ein Wildcard Zertifikat da ist kann man auch mehrere SSL Seiten betreibern(Praktisch unbegrenzt), aber dazu brauch mann einen Reverse SSL Proxy.

    Weil so wir wir Ihn verwenden löst die Domain auf 2 IP's auf(Load balancing) und diese zwei sind Squid Reverse SSL Proxys, diese haben das Wildcard Zertifikat, und leiten nach Anfrage z.B.: https://lala.mydomain.de an Server $srv1 weiter.

    wenn https://lala2.mydomain.de angefragt wird wird es an Server $srv2 weitergeleitet.

    ist zwar am Anfang aufwendig aber wenn es richtig konfiguriert ist, will es man nicht anders machen.

    Ist natürlich mit einem Server nicht zu vergleichen, wobei man ja die Möglichkeit fast immer hat ein zusätzliches 6 subnetzt zu bestellen.

    beim Passphrase vom key das PWD entfernen ist am einfachsten (smile)

    Bye Zeroagain..

  11. Anonymous

    Ähm Arne, sorry aber eine eigene IP teuer? Das war mal^^

    1. Administrator

      Mit "eigener IP" meine ich, dass bei einem "whois 195.225.133.232" (dies ist z.Zt. die IP dieses Servers) meine eigenen Daten drinstehen, nicht die des Hosters.

      Die IP-Adressen gibt es auch nicht einzeln, sondern nur in Blöcken. Einen eigenen IP-Range bestellt man bei http://ripe.net. Durch die Kostenstruktur steige ich nicht ganz durch, aber es geht um einige tausend € jährlich allein für die Mitgliedschaft.

  12. Anonymous

    Die mitgliedschaft kostet doch nur 1500€ die IP-Adressen kosten dann eigentlich nichts mehr :-)

  13. Anonymous

    Kann ich ein SSL-Zertifikat löschen, wenn ich keinen Server habe? Wenn ja, wie? Bin Newbee und mein Anbieter will EUR 22 für das Löschen...!

    1. Administrator

      Es müsste möglich sein, die Löschung eines SSL-Zertifikats direkt beim Aussteller zu beantragen. Da es ja einen gewissen Verwaltungsaufwand gibt (der Aussteller muss ja prüfen, ob der Antragsteller wirklich berechtigt ist, das Zertifikat löschen zu lassen), erscheinen mir die 22€ durchaus plausibel.

      1. Anonymous

        Danke für die Antwort. Inzwischen ist das Cert gelöscht, kostenlos. Da hat mir die Dame am Telefon Mist erzählt. Der Techniker sagte (wie ich auch dachte), daß ich ohne eigenen Server gar nichts löschen kann, aber die Dame meinte, ich kann das selbst und wollte deshalb Kohle.... Nu is das Cert weg, die IP gekündigt, die Konnektierung wieder auf default, aber alle, die den alten https://-Link aufrufen (weil in Favoriten u.ä. gespeichert), erhalten die Seite mit dem Hinweis 'Nicht vertrauenswürdiges Zertifikat' angezeigt... Dort ist unter Details ein anderer Anbieter mit abgelaufenem Cert zu sehen, der wohl nun meine alte IP hat... Ein Elend kommt selten allein. Techniker sagt, da kann er nichts machen, glaub ich aber nicht. Gibt es eine Möglichkeit, mittels .htaccess den Seitenaufruf zu verhindern und/oder gleich auf http umzuleiten? Hab schon alles probiert, aber auch mod_rewrite ist nicht mein Hauptfach und der Apache eine ältere Version... Bin für jeden Hinweis dankbar... ;-)) Und hab, wie gesagt, keinen eigenen Server, sondern nur webhosting.

        1. Administrator

          Ich verstehe den Zusammenhang nicht so ganz.

          Geht es darum, ein vorhandenes offizielles Zertifikat zurückzuziehen (revoke) oder nur darum, die Webseite von https auf http umzustellen? Letzteres kann man tatsächlich über die Webseitenadministration selbst machen.

          Wieso wurde die IP gekündigt? Normalerweise kündigt man nur eine Domain. Oder wurde die Domain gekündigt, der Nameserver zeigt aber (fälschlicherweise) immer noch auf die frühere IP-Adresse, wo jetzt natürlich andere Inhalte liegen?

          Fragen über Fragen.... oder schick' mir die Details per email, anstatt sie hier zu posten.

          Um einen automatischen Redirekt von https nach http zu bewerkstelligen, muss man in der httpd.conf folgendes eingeben:

            RewriteEngine On
  RewriteCond %{SERVER_PORT} 443$
  RewriteRule ^(.*) http://www.domainname.de$1 [R=301,L]