t3n 6

TYPO3 und Zertifikate: Single Sign-On

Seite 2 / 5

SHELL

#> openssl genrsa -aes256 -out private/rootca.key 2048

Listing 1

Mit diesem Schlüssel wird anschließend das Zertifikat für die Zertifizierungsstelle mit einer Gültigkeitsdauer von 20 Jahren erstellt. Dabei ist zu beachten, dass das Zertifikat ausreichend lange gültig sein sollte, da das Austauschen des Zertifikates der Stammzertifizierungsstelle sehr aufwendig ist.

SHELL

#> openssl req -config openssl.cnf -new -days \ 
#> 7300 -x509 -key private/rootca.key -out cert/rootca.crt

Listing 2

Nachdem das Zertifikat für die Zertifizierungsstelle erstellt wurde, kann das erste Benutzerzertifikat ausgestellt werden:

SHELL

#> openssl genrsa -aes256 -out private/support@ml-networld.de.key 2048
#> openssl req -config openssl.cnf -new -key private/support@ml-networld.de.key \ 
-out certs/support@ml-networld.de.csr
#> openssl ca -config openssl.cnf -in certs/support@ml-networld.de.csr \
-cert certs/rootca.crt -keyfile private/rootca.key -out certs/support@ml-networld.de.crt

Listing 3

Abschließend wird das Zertifikat ins PKCS12-Format umgewandelt, damit es sich bequem in den Webbrowser importieren lässt:

SHELL

#> openssl pkcs12 -export -inkey private/support@ml-networld.de.key -in \
certs/support@ml-networld.de.crt -certfile certs/rootca.crt -out \ 
p12/support@ml-networld.de.crt.p12

Listing 4

Zusätzlich muss das Zertifikat der Zertifizierungsstelle als vertrauenswürdig in den Webbrowser importiert werden. Anschließend kann sich der Webbrowser am Webserver authentifizieren. Bei der Erstellung der Benutzerzertifikate ist zu beachten, dass im Feld „Common Name“ die E-Mail-Adresse richtig eingetragen wird, das sie später nicht korrigiert werden kann. Serverzertifikate werden analog zu den Benutzerzertifikaten angelegt, nur dass im dem Feld „Common Name“ die URL des Webservers eingetragen wird. Nachdem die Zertifikate erstellt wurden, muss jetzt der Webserver konfiguriert werden. Das hier gezeigte Beispiel beruht auf Apache2. An dieser Stelle wird davon ausgegangen, dass der Webserver bereits für SSL konfiguriert wurde. Mit folgender Zeile wird bestimmt, von welcher Zertifizierungsstelle die Benutzerzertifikate akzeptiert werden:

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung