Webserver SSL Zertifikat von StartCom ausstellen

Voraussetzung


Zur Einrichtung des SSL Zertifikats ist eine eigene Domain notwendig. Beispielhaft wird in dieser Anleitung die Domain meinedomain.de verwendet. Für die Adressierung einer Nas kann man auch eine Subdomain z.B. qnap.meinedomain.de nutzen. Die (Sub)-Domain wird mit der externen IP Adresse verknüpft unter der die Nas zu erreichen ist. Die Verknüpfung ist neben statische auch für dynamische IP-Adressen möglich, wenn der Hoster der Domain DDNS-fähige Domains anbietet oder CNAME Einträge zulässt.



Vorarbeit Schlüsselpaar generieren


Für das Zertifikat brauchen wir für das Verschlüsselungsverfahren ein Schlüsselpaar bestehend aus privatem und öffentlichem Schlüssel. Es gibt verschiedene Wege ein Schlüsselpaar zu erzeugen. Diese Anleitung beschreibt den Vorgang auf einer QNAP Nas. Wer das Arbeiten auf der Nas Konsole scheut, kann sich auch ein Schlüsselpaar mit dem StartCom Tool generieren. Die Vorgehensweise ist im Anhang dieser Anleitung beschrieben.




Zertifikat ausstellen


Wir rufen die Seite der Zertifizierungsstelle StartCom unter https://www.startssl.com/ auf.


StartComSSL_01.jpg


1. In der Kopfleiste der Seite Sign-up anklicken.



Benutzer einrichten (Sign-up)


StartCom bevorzugt den Login per Authentifizierungszertifikat. Dieses Zertifikat wird per Emailadresse ausgestellt und nach der Validierung automatisch im Browser hinterlegt. Benutzer- und Passworteingabe sind mit diesem Verfahren nicht erforderlich. Das Authentifizierungszertifikat kann zur Datensicherung aus dem Browser exportiert werden. Ferner ist es auch möglich das Zertifikat mit Hilfe der Sicherheitskopie auf weiteren Geräten/Browsern verfügbar zu machen, um auch von dort aus auf sein StartCom Konto zugreifen zu können.


Beachte: Das Authentifizierungszertifikat ist nicht das Webserver Zertifikat welches wir noch im Laufe dieser Anleitung erstellen werden.




StartComSSL_02.jpg


1. Die Landesauswahl prüfen und gegebenenfalls korrigieren.


2. Hier wird eine Emailadresse eingetragen unter der wir erreichbar sind.


3. Mit Anklicken von "Send verification code" bekommen wir spätestens nach einigen Minuten eine Email zugesandt.




StartComSSL_03.jpg


1. Den Verification Code aus oben genannter Email tragen wir per Cut & Paste in dieses Feld ein.


2. Mit dem Button "Sign up" wird der Vorgang zur Email Validierung abgeschlossen.


Bei erfolgreicher Validierung wird nun das Authentifizierungszertifikat in den Browser eingetragen:




StartComSSL_04.jpg


1. Das Installieren des Zertifikats bestätigen wir mit "Ok".



StartComSSL_05.jpg


1. Die StartCom Webseite erwartet nun, dass wir uns mit dem eben erstellten Zertifikat anmelden: "Login Now"



StartComSSL_06.jpg


1. Der Browser (in meinem Beispiel Firefox) schlägt automatisch das hinterlegte Zertifikat vor und wir müssen nur noch mit "OK" bestätigen.


Wir sind nun unter unserem Account bei StartSSL angemeldet.



Domain validieren


Bevor das Zertifikat für unsere Domain erstellt werden kann, muss erst durch die Zertifizierungsstelle geprüft werden, ob wir "Eigentümerrechte" an dem Zertifikat haben. Für ein Class 1 Zertifikat wird eine einfache Email Validierung an die Adresse unserer Domain durchgeführt. Das ist nun unsere nächste Aufgabenstellung:



StartComSSL_07.jpg


1. Mit einem Klick auf den Wizard starten wir den Validierungsprozess.



StartComSSL_08.jpg


1. Im Eingabefeld Domain tragen wir die zu prüfende Domain ein. Beachte: Hier wird nicht die Subdomain eingetragen.


2. Mit dem Button "Continue" geht es weiter zum nächsten Schritt.



StartComSSL_09.jpg


Für die Validierung werden uns jetzt verschiedene systemnahe Emails vorgeschlagen. Bevor man sich für eine Adresse entscheidet, sollte man prüfen (eine eigene Test-Email senden), dass die Validierungs-Email auch in eine unserer Postfächer landet. Denn der Validierungsprozess ist sobald er einmal gestartet ist, einem zeitlichen Limit von 1 Minute für das Einreichen der Validierungsantwort unterworfen.


Du kannst tatsächlich unter der ausgewählten Emailadresse eine Email empfangen?


1. Ok, dann kannst du den Verification Code anfordern.


StartComSSL_10.jpg


1. Den Verification Code aus der Email hier eintragen.


2. Mit dem Button Validation den Vorgang vor Ablauf des 60 Sekunden Zeitlimits abschließen.


Sollte der Vorgang fehlschlagen muss ein neuer Verification Code angefordert werden.




StartComSSL_11.jpg


Geschafft, die Domain Validierung ist abgeschlossen.


1. Nun können wir den Zertifikat Wizard aufrufen.



Webserver Zertifikat ausstellen


StartComSSL_12.jpg


1. Wir treffen die Auswahl Web Server SSL/TLS Certificate und bestätigen mit Continue.



StartComSSL_13.jpg


1. Für die von uns validierte Domain können wir in diesem Fenster bis zu 10 Hostnameneinträge (inkl der Subdomains) für unser Zertifikat vornehmen. Hier sollte man seinem Ideenreichtum keine Grenzen setzen. Eine nachträgliche Änderung nach Ausstellung des Zertifikats ist nämlich nicht möglich.


2. Für das Zertifikat brauchen wir für das Verschlüsselungsverfahren ein Schlüsselpaar bestehend aus privatem und öffentlichem Schlüssel. Das Schlüsselpaar in unserem Beispielen server.key (privatem Schlüssel) und server.csr (öffentlicher Schlüssel, CSR) haben wir bereits in Vorarbeit erstellt.


StartComSSL_15.jpg


1. In dieses Fenster müssen die Daten aus der öffentlichen CSR Schlüsseldatei per Cut & Paste eingetragen werden.


2. Die Daten werden mit "Submit" an StartCom SSL übertragen.



StartComSSL_16.jpg


Der Vorgang der Zertifikatserstellung ist nun abgeschlossen.


1. Mit Klicken des Button wechseln wir jetzt in die Liste der Zertifikate.



StartComSSL_17.jpg


1. Mit "Retrieve" laden wir uns Paket mit den unterschiedlichen Schlüsselvarianten herunter.



StartComSSL_18.jpg


Die Daten zum Zertifikat werden nun auf den heimischen Rechner übertragen. Die ZIP-Datei beinhaltet wiederum die Zertifikatsdaten für unterschiedliche Server Anwendungen. Für die Installation des Zertifikats auf einer QNAP Nas wird der entpackte Inhalt aus dem ApacheServer.zip benötigt:


1_root_bundle.crt (Zwischenzertifikat)
2_meinedomain.de.crt (Zertifikat)


Die Installation des Zertifikats auf einer QNAP Nas wird in dieser Anleitung beschrieben.



Anhang - Schlüsselpaar mit StartCom Tool generieren


StartCom bieten ein kostenfreies Programm an, mit dem man in einer Windows Umgebung ein Schlüsselpaar generieren kann. Das Toll wird unter folgendem Link heruntergeladen:


https://download.startpki.com/startcom/startcomtool.exe


Achtung: Niemals das Tool aus einer anderen Quelle herunterladen! Ausschließlich Links nutzen, die auf den StartCom Webseiten angegeben sind.


StartComSSL_14.jpg



Normalerweise müssen für die Erstellung einer CRT einige Angaben (Country Name, State, Locality, Organization, usw. ) gemacht werden. Dies ist auch mit dem StartComTool möglich. Näheres beschreibt das STartComTool Tutorial. Da aber StartCom für das Zertifikat die Angaben austauscht, sollte auch die einfache Vorgehensweise ausreichen.


1. Generiere per Klick auf "Generate CSR" das Schlüsselpaar.


2. Bestimme den Namen und den Speicherort für den privaten Schlüssel (z.B. server.key). Der öffentliche Schlüssel (CSR) wird automatisch in unserem Beispiel unter server.csr mit abgespeichert.


3. Der Inhalt der CSR Datei wird im großen Fenster CSR Content angezeigt und kann mit dem Copy-Button in die Zwischenablage übernommen werden. Der Inhalt muss dann in das Fenster "Please submit your Certificate Signing Request (CSR), siehe Screenshot_15.jpg übertragen werden.


Die Datei server.key (privater Schlüssel) ist schützenswert zu speichern. Hierzu empfiehlt sich ein passwortgeschütztes ZIP-File.



Danksagung


Ein herzliches Dankeschön an StartCom für die Erlaubnis die Screenshots Ihrer Webseite und des StartComTools für diese Anleitung nutzen zu dürfen.
Die Urheberrechte (c) verbleiben bei StartCom.




:qclub: