Anwendungsentwickler Avatar

Lieber Besucher, der Betrieb dieses Blogs wurde am 25.11.2015 eingestellt.
Die Seite besitzt keine dynamischen Funktionen mehr und dient nur noch als Archiv.

Es wird keine Garantie für die Aktualität der hier stehenden Informationen übernommen!

Kategorien

HTTPS, easy-rsa, sha256, nginx

Seit einiger Zeit weist Google Chrome bei https auf veraltete SSL Einstellungen hin. Neuerdings tut Google Chrome das sogar, wenn es sich um ein Zertifikat mit sha1 Signatur handelt.

Da in Google Chrome selbst nicht wirklich gesagt wird, was nun genau falsch ist, experimentierte ich mit einer Website mit eigener CA.

Zur Erstellung der CA und der Zertifikate nutze ich die Script Sammlung easy-rsa von openvpn. Die Scripte funktionieren nicht nur bei OpenVPN wunderbar, sonderen auch bei Webserver Zertifikaten. :)

Die folgenden Zeilen beschreiben, wie man ein für Chrome sicheres Zertifikat mit easy-rsa erstellt und welche Einstellungen an nginx vorgenommen werden müssen, damit man einen A-grade bei ssllabs.com bekommt.

weiterlesen

Authentifizierung mit Client Zertifikaten

Für einen privaten nginx Webserver habe ich mich mal an Zertifikatsbasierter Authentifizierung versucht. Dies funktioniert wie bei VPN.

Man erstellt sich eine eigene Certificate Authority (CA), das klassische Server Zertifikat mit Key und ein Client Zertifikat mit Key. Anschließend wird die CA und das Client Zertifikat in den Browser importiert. Beim Aufruf der Seite wird der Benutzer mit dem Client Zertifikat validiert und angemeldet.

In dieser Anleitung setze ich der Einfachheit voraus, dass bereits Erfahrung beim Erstellen von Zertifikaten besteht und ich auf die einzelnen Befehle nicht weiter eingehen muss.

Das folgende Shellscript erzeugt alles nötige:

weiterlesen