Zertifikate – nohack.de

Zertifikate von Let’s Encrypt für Apache unter Windows erzeugen

Certbot installieren

Certbot Anleitung für Windows und Apache gibt es unter:
https://certbot.eff.org/lets-encrypt/windows-apache

Certbot für Windows kann aktuell hier herunterladen werden:
https://dl.eff.org/certbot-beta-installer-win32.exe

Certbot installieren.

Keyfile und Zertifikate erstmalig erzeugen

Der Windows Server muss über DNS und Port 80/tcp temporär erreichbar sein (Firewall Port kurz aufmachen).

Mit Adminrechten CMD öffnen
Ins Verzeichnis C:\Program Files (x86)\Certbot\bin wechseln

Firewall Port 80 öffnen

Aufruf für Test (hier als Beispiel für den Server srv01.nohack.de)
certbot certonly –standalone –dry-run -d srv01.nohack.de

Aufruf für Produktion
certbot certonly –standalone -d srv01.nohack.de

Firewall Port 80 kann wieder geschlossen werden

Zertifikat und Key liegt nun ab unter:
C:\Certbot\live\srv01.nohack.de\cert.pem
C:\Certbot\live\srv01.nohack.de\fullchain.pem
C:\Certbot\live\srv01.nohack.de\privkey.pem

fullchain.pem umbennen zu ca-bundle.pem (apache Standard CA Keychain Filename).

Apache restarten und Seite im Browser mit https:// testen

Private Schlüssel, Signaturrequests und Zertifikate erstellen mit OpenSSL

Für was braucht man Zertifikate?

Um sicherzustellen das man sich mit den richtigen Empfänger oder Absender (bzw. Server oder Client) unterhält verwendet man Zertifikate. Die Zertifikate werden von einer vertrauensvollen Stelle, einer Zertifizierungsstelle (Certificate Authority kurz CA) ausgestellt.

Aufgaben der CA

Die CA unterschreibt (signiert) dazu zuvor digital einen Antrag (Certificate Signing Request kurz CSR) welcher vom Client und/oder Server erstellt wurde, nachdem die CA über mehrere Verfahren sichergestellt hat das der Request tatsächlich vom genannten Absender kommt.

OpenSSL

OpenSSL ist das Tool der Wahl, Freeware. Wird verwendet von nahezu allen Herstellern und für fast alle SSL/TLS Verbindungen in der Welt.

Installation OpenSSL

Unter Windows können die Binaries von OpenSSL heruntergeladen werden, eine Liste der Anbieter findet man hier:
https://wiki.openssl.org/index.php/Binaries

Also z.B. von
https://slproweb.com/products/Win32OpenSSL.html

Für Delphi Entwickler unter
http://wiki.overbyte.eu/wiki/index.php/ICS_Download#Download_OpenSSL_Binaries_.28required_for_SSL-enabled_components.29
oder für OpenSSL API1.0
http://indy.fulgan.com/SSL/

Aufruf mit openssl über die Kommandozeile, danach wechseln ins Installations-Verzeichnis
C:\Tools\OpenSSL\bin>openSSL
OpenSSL> version
OpenSSL 1.1.1i 8 Dec 2020

Erstellen eines private Schlüssels

Mit folgenden Kommando kann man sich einen privaten erzeugen, dieser sollte Stand heute mindestens 2048 besser 4096bits an Länge haben.
openSSL genrsa -aes256 -out PrivateKey.pem 4096

Zertifikate anzeigen

Inhalte von Zertifikaten anzeigen (hier chain.pem):
openssl x509 -text -in chain.pem