Apache-Zertifikat – Erneuerung – SouToub


Apache-ZertifikatFür mich ist der Herbst die Zeit, Zertifikate für verschiedene Dienstleistungen des Unternehmens zu erneuern. Vor nicht allzu langer Zeit musste ich ein Zertifikat für eine der Webressourcen erneuern… Jedes Jahr mache ich praktisch die gleiche Abfolge von Aktionen durch und jedes Mal stoße ich auf neue Fallstricke, Fehler, die vorher nicht existierten, und andere nicht sehr angenehme Momente. Und das trotz der Einfachheit des Prozesses. Von nun an werde ich alle Abweichungen von der üblichen einfachen Reihenfolge der Aktionen in diesem Artikel aufzeichnen.


Weitere Informationen zu digitalen Zertifikaten finden Sie im Hauptthema Artikel – Digitale Zertifikate.


Apache-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle

Schauen wir uns zunächst den Prozess der Erneuerung des Zertifikats an.

Da es sich um eine Erneuerung handelt, bedeutet dies, dass wir das Zertifikat selbst haben. Es gibt auch einen privaten Schlüssel, der natürlich niemandem gezeigt wird und an einem sicheren Ort aufbewahrt wird. Historisch gesehen haben wir immer Zertifikate von Comodo gekauft über LeaderTelecom (Zählen Sie es nicht als Werbung). Für die Eingabedaten reicht dies aus. Kommen wir zur Sache:

Zunächst rufen wir unseren Manager an und sprechen über den Wunsch, das Zertifikat zu erneuern. Er muss Ihnen mitteilen, dass im Zusammenhang mit der Verwendung von Apache die Zertifikatsanforderung (Datei mit der Erweiterung .csr) nicht erneut generiert werden muss, sondern dass Sie die von Anfang an verbleibende verwenden können. Dies vereinfacht den Prozess aus technischer Sicht. Im Moment bleibt es noch, die Domain-Besitzprüfung zu bestehen und Überprüfung der Organisation … Um die Domain-Inhaberschaft zu überprüfen, wird eine E-Mail an Sie gesendet:

Apache-Zertifikat

Folgen Sie dem Link und geben Sie den Code aus dem Buchstaben ein:

Erneuerung des Apache-Zertifikats 02

Erneuerung des Apache-Zertifikats 03

Dann müssen Sie die Überprüfung der Organisation durchlaufen, alles ist das gleiche wie bei der ersten Anforderung eines Zertifikats: Wir erhalten einen Brief, folgen dem Link, geben den Code ein, bestellen einen Anruf:

Erneuerung des Apache-Zertifikats 04

Erneuerung des Apache-Zertifikats 05

Erneuerung des Apache-Zertifikats 06

Erneuerung des Apache-Zertifikats 07

Es gibt einige Nuancen, die Sie unbedingt kennen müssen:

  1. Woher weiß es, welche Nummer anzurufen ist? Es ist ganz einfach: Ihre Organisation muss auf den Gelben Seiten registriert sein. Wo genau oder wo ist besser – erkundigen Sie sich beim Manager (in meinem Fall war es yell.ru. );
  2. Der Roboter kann eine Nebenstellennummer anrufen. Diese Funktion ist vor nicht allzu langer Zeit erschienen (zumindest für Comodo) und kann in einigen Fällen das Leben erheblich erleichtern.
  3. Auf dem Weg des Roboters sollten sich keine Sprachmenüs befinden (wenn ein Sprachmenü vorhanden ist, geben Sie die interne Nummer des Teilnehmers an, siehe Absatz 2).
  4. Der Roboter ist ziemlich schlau – manchmal dauert es weniger als 5 Sekunden zwischen dem Drücken einer Taste und einem Anruf.
  5. Selbst wenn Sie Russisch für den Roboter wählen, spricht er immer noch Englisch.
  6. Der Roboter fragt Sie, ob Sie ein Zertifikat bestellt haben oder nicht. Wenn bestellt, drücken Sie “1”. Der Bestätigungscode wird zweimal wiederholt.

Nach der Bestätigung erhalten Sie Ihr Zertifikat und Ihre Dokumente zur Zahlung. Fahren Sie als Nächstes mit der Installation des Zertifikats auf dem Webserver fort.

Wenn Sie den Inhalt des Zertifikats manuell in eine neue Datei kopieren (wie ich), ist es wichtig, dass nach ——BEGIN CERTIFICATE—— ein Zeilenumbruch auftritt. Es wurde für mich falsch kopiert und der Server wurde nicht gestartet, wobei die folgenden Informationen in den Protokollen gespeichert wurden:

[error] Init: Serverzertifikat kann nicht aus Datei /etc/ssl/certs/2015.portal.scout-gps.ru.crt gelesen werden
[error] SSL-Bibliotheksfehler: 218529960 Fehler: 0D0680A8: ASN1-Codierungsroutinen: ASN1_CHECK_TLEN: Falsches Tag
[error] SSL-Bibliotheksfehler: 218595386 Fehler: 0D07803A: asn1-Codierungsroutinen: ASN1_ITEM_EX_D2I: verschachtelter asn1-Fehler

Standardmäßig Speicherort der Apache-Protokolldateien Debian:

/var/log/apache2/error.log

Aus Gründen der Zuverlässigkeit können Sie die Dateien selbst auf den Server kopieren, aber ich bin es gewohnt, den Inhalt zu kopieren, und dort wurde ich erwischt.

Zertifikatsbindung hinzufügen. Standardmäßig in der Datei:

/ etc / apache2 / sites-enabled / default-ssl

Linien:

SSLCertificateFile /etc/ssl/certs/cert.crt # Ihr Zertifikat
SSLCertificateKeyFile /etc/ssl/private/cert.key # privater Schlüssel des Zertifikats
SSLCertificateChainFile /etc/ssl/certs/cert.ca-bundle # enthält die Stamm- und Zwischenzertifikate Ihrer Zertifizierungsstelle

Verwenden Sie natürlich Ihren eigenen Pfad und Dateinamen.

Wir starten den Apache neu, überprüfen die Arbeit. Wenn Sie die Site bereits besucht haben, wird möglicherweise ein altes Zertifikat zwischengespeichert.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *