Software & Infrastruktur

TYPO3 und Zertifikate: Single Sign-On

Seite 2 / 5

SHELL
#> openssl genrsa -aes256 -out private/rootca.key 2048

Listing 1

Mit diesem Schlüssel wird anschließend das Zertifikat für die Zertifizierungsstelle mit einer Gültigkeitsdauer von 20 Jahren erstellt. Dabei ist zu beachten, dass das Zertifikat ausreichend lange gültig sein sollte, da das Austauschen des Zertifikates der Stammzertifizierungsstelle sehr aufwendig ist.

SHELL
#> openssl req -config openssl.cnf -new -days \ 
#> 7300 -x509 -key private/rootca.key -out cert/rootca.crt

Listing 2

Nachdem das Zertifikat für die Zertifizierungsstelle erstellt wurde, kann das erste Benutzerzertifikat ausgestellt werden:

SHELL
#> openssl genrsa -aes256 -out private/support@ml-networld.de.key 2048
#> openssl req -config openssl.cnf -new -key private/support@ml-networld.de.key \ 
-out certs/support@ml-networld.de.csr
#> openssl ca -config openssl.cnf -in certs/support@ml-networld.de.csr \
-cert certs/rootca.crt -keyfile private/rootca.key -out certs/support@ml-networld.de.crt

Listing 3

Abschließend wird das Zertifikat ins PKCS12-Format umgewandelt, damit es sich bequem in den Webbrowser importieren lässt:

SHELL
#> openssl pkcs12 -export -inkey private/support@ml-networld.de.key -in \
certs/support@ml-networld.de.crt -certfile certs/rootca.crt -out \ 
p12/support@ml-networld.de.crt.p12

Listing 4

Zusätzlich muss das Zertifikat der Zertifizierungsstelle als vertrauenswürdig in den Webbrowser importiert werden. Anschließend kann sich der Webbrowser am Webserver authentifizieren. Bei der Erstellung der Benutzerzertifikate ist zu beachten, dass im Feld „Common Name“ die E-Mail-Adresse richtig eingetragen wird, das sie später nicht korrigiert werden kann. Serverzertifikate werden analog zu den Benutzerzertifikaten angelegt, nur dass im dem Feld „Common Name“ die URL des Webservers eingetragen wird. Nachdem die Zertifikate erstellt wurden, muss jetzt der Webserver konfiguriert werden. Das hier gezeigte Beispiel beruht auf Apache2. An dieser Stelle wird davon ausgegangen, dass der Webserver bereits für SSL konfiguriert wurde. Mit folgender Zeile wird bestimmt, von welcher Zertifizierungsstelle die Benutzerzertifikate akzeptiert werden:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!