Apache SSL Administration

APACHE SSL CERTIFIKAT ADMINISTRATION

Följande guide beskriver hur SSL administration för Apache utförs med OpenSSL
Denna guide kan även användas för att beställa och installera certifikat,
med eller utan AutoCSR och vidare hur man exporterar och importerar SSL certifikats backupfiler.


INNEHÅLLSFÖRTECKNING (klickbar):
Generering av CSR till certifikat beställning
Skapande av den privata nyckeln
Skapande av CSR
Installation av ditt certifikat på en Apache 1.x server
Installation av ditt certifikat på en Apache 2.x server
Hämta mellanliggande och rotcertifikat till ditt certifikat


GENERERING AV CSR TILL CERTIFIKAT BESTÄLLNING
Vid beställning av ett SSL certifikat till skydd för en enkel server adress (FQDN) i Apache, utan användning av AutoCSR, krävs en generering av en CSR kod samtidigt som den privata nyckeln skapas på servern.

Lägg märke till att skapandet av en CSR till ett SAN SSL certifikat, kräver flera ändringar i openssl.cnf och manuell inläggning av SAN namnen häri. Vi rekommenderar att skapa SAN SSL certifikat till Apache med AutoCSR för att slippa problem, alternativt kontakta oss för ytterligare information på info@bluessl.com.

För att genomföra en beställning och generering av CSR koden, måste Ni ha följande informationer klara till certifikatet.
Lägg märke till att svenska bokstäver och följande tecken inte kan användas: > < ! @ # $ % ^ * ( ) ~ ? \. &

Common Name (CN): Det primära domännamnet på din Apache server (ex. mail.bluessl.com)
Organization Name (O): Fet giltiga företagsnamnet inklusive eventuell ändelse, eller personen som beställer certifikatet (ex. blueSSL AB)
Department (OU): Avdelning eller beskrivande del av företaget (ex. blueSSL eller IT)
State/region (S): Län eller kommun, kan även använda SE
Country (C): ISO standard landskod (ex. SE)
Locality (L): Stad (ex. Lund)

Där finns tre steg i skapandet och installationen av ett certifikat:

1. Skapande av privat nyckel
2. Skapande av CSR (Certificate Signing Request)
3. Installation av Certifikatet

För mer generell information om certifikat och SSL:
http://www.bluessl.com/sv/general-information/

För både skapande av den privata nyckeln och CSR, beskriver vi här användningen av OpenSSL verktyget.
OpenSSL verktyget är som standard installerat under /usr/local/ssl/bin, om Ni har en standard installation.


SKAPANDE AV DEN PRIVATA NYCKELN
1. Logga in på servern med rot access och skapa en mapp, där SSL certifikat filerna för servern skall placeras, denna placering skall vara tillgänglig för Apache servern. Gå sedan till denna mapp.

2. För att upprätta en privatnyckel användes följande kommando:

openssl genrsa -out www.mitdomain.dk.key 2048

Detta kommando kommer att skapa en 2048 bits RSA privat nyckel, utan skydd av en kod.
Önskas en kod på den privata nyckeln skall Ni istället använda följande kommando och sedan mata en den önskade koden när den efterfrågas:

openssl genrsa -des3 -out www.mitdomain.dk.key 2048

3. Spara undan koden på ett säkert ställe, den är kravet för att webservern senare skall kunna använda SSL certifikatet som Ni får utfärdat.


SKAPANDE AV CSR

4. Fyll i följande kommando för att upprätta en CSR till ovanstående nyckel:

openssl req -new -key www.mitdomain.dk.key -out www.mitdomain.dk.csr

Om du utför detta kommando på en Windows server och får ett fel, använd istället följande kommando:

openssl req -new -key www.mitdomain.dk.key -out www.mitdomain.dk.csr -config openssl.cnf

5. Om du valde att säkra upp nyckeln med en kod, blir du promptad att uppge denna nu.

6. Fyll i de uppgifterna du samlade ihop tidigare till certifikatet, kom ihåg att du inte kan använda ÅÄÖ eller specialtecken.
Utöver detta skall du inte fylla i något i de sista tre fälten, se följande exempel:

Country Name: DK
State or Province Name: DK
Locality Name: Copenhagen
Organization Name: Mit Firma A/S
Organizational Unit Name: IT
Common Name: www.mitdomain.dk
Email Address:
A challenge password:
An optional company name:

7. Du kan nu bekräfta att din CSR är skapad korrekt med följande kommando:

openssl req -noout -text -in www.mitdomain.dk.csr

8. Öppna www.mitdomain.dk.csr filen med den texteditor du föredrar, kopiera hela texten från CSR filen, inklusive start och slut tags.
Under certifikat beställningen skall du använda denna text i CSR fältet. Följande är exempel på en full CSR text.

-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDVDCCAr0CAQAweTEeMBwGA1UEAxMVd3d3Lmpvc2VwaGNoYXBtYW4uY29tMQ8w
DQYDVQQLEwZEZXNpZ24xFjAUBgNVBAoTDUpvc2VwaENoYXBtYW4xEjAQBgNVBAcT
CU1haWRzdG9uZTENMAsGA1UECBMES2VudDELMAkGA1UEBhMCR0IwgZ8wDQYJKoZI
hvcNAQEBBQADgY0AMIGJAoGBAOEFDpnOKRabQhDa5asDxYPnG0c/neW18e8apjOk
1yuGRk+3GD7YQvuhBVS1x6wkw1D2RnmnZgN1nNUK0cRK7sIvOyCh1+jgD7u46mLk
81j+b4YSEmYZGPLIuclyocPDm0hXayjCUqWt7z6LMIKpLym8gayEZzz9Gn97PsbP kVFBAg
MBAAGgggGZMBoGCisGAQQBgjcNAgMxDBYKNS4xLjI2MDAuMjB7BgorBgEE AYI3AgEO
MW0wazAOBgNVHQ8BAf8EBAMCBPAwRAYJKoZIhvcNAQkPBDcwNTAOBggq hkiG9w0D
AgICAIAwDgYIKoZIhvcNAwQCAgCAMAcGBSsOAwIHMAoGCCqGSIb3DQMH MBMGA1Ud
JQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQICMYHuMIHrAgEBHloA TQBpAG
MAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEAbgBuAGUAbAAgAEMA
cgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkAZABlAHIDgYkAk0kf
HSkr4jsEVya3mgUoyaYMO456ECNZr4Cb+WhPgexfjOO5qwOG1oDOTaKycrkc5pG+
IPBQnq+4cotT8hWJQwpc+qGb8xUETpxCokhrhN5079vFXq/5dsHkmtOTwkSqSnz9
yruVoxYeDQ8jI3KG3HTgxwFto8oZnm+E+Y4oshUAAAAAAAAAADANBgkqhkiG9w0B
AQUFAAOBgQAuAxetLzgfjBdWpjpixeVYZXuPZ+6jvZNL/9hOw7Fk5pVVXWdr8csJ
6JUW8QdH9KB6ZlM4yg8Df+vat1/DG6GuD2hiIR7fQ0NtPFBQmbrSm+TTBo95lwP+
ZSZTusPFTLKaqValdnS9Uw+6Vq7/I4ouDA8QBIuaTFtPOp+8wEGBHQ==
-----END NEW CERTIFICATE REQUEST-----


INSTALLERA DITT SSL CERTIFIKAT PÅ EN APACHE 1.x SERVER
Följande beskriver hur du installerar ditt SSL certifikat och det mellanliggande certifikatet, när du erhållit dessa.

1. Logga in på servern med det konto som har rot åtkomst

2. Skapa en textfil med namnet "www.mitdomain.dk.crt" och klistra in texten från e-mailet med ditt SSL certifikat, inkl. start och sluttags.

3. Skapa en textfil med namnet "intermediate.pem" och klistra in texten från certifikatutfärdarens mellanliggande certifikat (intermediate certificate).

4. Öppna din webservers konfigurationsfil, t.ex. httpd.conf, ssl.conf eller liknande fil som innehåller din websidas konfiguration. Hitta och redigera virtual host sektionen och lägg till följande parametrar för att peka på SSL certifikat filerna:

SSLEngine On
SSLCertificateChainFile /fulde/sti/ssl-filer/intermediate.pem
SSLCertificateFile /fulde/sti/ssl-filer/www.mitdomain.dk.crt
SSLCertificateKeyFile /fulde/sti/ssl-filer/www.mitdomain.dk.key

5. Det kan också vara nödvändigt att lägga till andra parametrar för att aktivera SSL på servern, bland annat skall servern lyssna på port 443.
Följande är ett exempel från en Ubuntu server med Apache2 SSL:

SSLEngine On
<IfModule mod_ssl.c>
# SSL name based virtual hosts are not yet supported, therefore no NameVirtualHost statement here
Listen 443
</IfModule>

6. Spara ändringarna och starta om Apache


INSTALLERA DITT SSL CERTIFIKAT PÅ EN APACHE 2.x SERVER
Följande beskriver hur du installerar ditt SSL certifikat och det mellanliggande certifikatet, när du erhållit dessa.

1. Logga in på servern med det konto som har rot åtkomst

2. Skapa en textfil med namnet "www.mitdomain.dk.crt" och klistra in texten från e-mailet med ditt SSL certifikat, inkl. start och sluttags.

3. Skapa en textfil med namnet "intermediate.pem" och klistra in texten från certifikatutfärdarens mellanliggande certifikat (intermediate certificate)

4. Skapa en textfil med namnet "ca_root.pem" och klistra in texten från certifikatutfärdarens rot certifikat (root certificate)

5. Öppna din webservers konfigurationsfil, t.ex. httpd.conf, ssl.conf eller liknande fil som innehåller din websidas konfiguration. Hitta och redigera virtual host sektionen och lägg till följande parametrar för att peka på SSL certifikat filerna:

SSLCACertificateFile /fulde/sti/ssl-filer/ca_root.pem
SSLCertificateChainFile /fulde/sti/ssl-filer/intermediate.pem
SSLCertificateFile /fulde/sti/ssl-filer/www.mitdomain.dk.crt
SSLCertificateKeyFile /fulde/sti/ssl-filer/www.mitdomain.dk.key

6. Det kan också vara nödvändigt att lägga till andra parametrar för att aktivera SSL på servern, bland annat skall servern lyssna på port 443.
Följande är ett exempel från en Ubuntu server med Apache2 SSL:

SSLEngine On
<IfModule mod_ssl.c>
# SSL name based virtual hosts are not yet supported, therefore no NameVirtualHost statement here
Listen 443
</IfModule>

7. Spara ändringarna och starta om Apache.


HÄMTA MELLANLIGGANDE OCH ROTCERTIFIKAT TILL DITT CERTIFIKAT
Här finns det länkar så Ni kan hämta de mellanliggande ocg rotcertifikat till några av våra certifikat.

GlobalSign:

Domain validated
Rod certifikat:
http://www.globalsign.com/support/root-certificate/root-globalsign.php

Mellemudsteder certifikat:
http://www.globalsign.com/support/intermediate/domainssl_intermediate.php

Organization validated
Rod certifikat:
http://www.globalsign.com/support/root-certificate/root-globalsign.php

Mellemudsteder certifikat:
http://www.globalsign.com/support/intermediate/organizationssl_intermediate.php

Extended validated
Rod certifikat:
http://www.globalsign.com/support/root-certificate/root-globalsign-rc2.php

Mellemudsteder certifikat:
http://www.globalsign.com/support/intermediate/extended_bundle.php

AlphaSSL
Rod og mellemudsteder certifikater:
http://www.alphassl.com/support/install-root-certificate.html

GeoTrust
Rod og mellemudsteder certifikater:
https://www.geotrust.com/resources/root-certificates/

Verisign & Thawte
Rod og mellemudsteder certifikater:
http://www.verisign.com/support/roots.html

RapidSSL
Rod og mellemudsteder certifikater:
http://www.rapidssl.com/legal/