Apache Webserver mit SSL

Diese Anleitung beruht auf der Netzadmin-Apache-Grundkonfiguration. Mit Hilfe dieser Anleitung wird es Ihnen möglich den Apache Webserver unter Windows SSL-fähig zu machen (mit OpenSSL/SSLeay/mod_ssl).

• Installation
• Zertifikat erstellen
• Konfiguration des Apache

Installation

Zuerst müssen Sie die Konfigurationsdateien des Apache aus dem Unterverzeichnis conf in ein anderes Verzeichnis sichern.

Downloaden Sie anschließend die zu Ihrem Apache passende mod_ssl-Version. Die mod_ssl-Datei ist nach folgendem Schema benannt: Apache_X-Mod_SSL_Y-OpenSSL_Z-WIN32.zip, wobei X, Y und Z für die jeweiligen Versionsnummern stehen.
Momentan sind folgende Server online, von denen Sie das Paket downloaden können:

• http://hunter.campbus.com/

Bitte beachten Sie, dass die erstgenannte URL oft etwas mit den Updates hinterherhinkt.

Extrahieren Sie den Inhalt der ZIP-Datei in das Verzeichnis, in dem Sie den Apache installiert haben. Wahrscheinlich müssen mehrere Dateien überschrieben werden. Kopieren Sie anschließend die gesicherten Konfigurationsdateien zurück in das Konfigurationsverzeichnis des Apache.

Jetzt muss noch OpenSSL installiert werden. Downloaden Sie anschließend die OpenSSL-Version, die zu der mod_ssl-Version passt, die Sie oben gedownloadet haben! Die Datei hat das Format Openssl-Z-Win32.zip, wobei Z mit dem Z von oben übereinstimmen muss!
Auch hier haben Sie zwei Download-URLs zur Verfügung:

• http://www.openssl.org/contrib/
• http://hunter.campbus.com/

Extrahieren Sie die Dateien in das Unterverzeichnis openssl des Apache-Ordners.
Kopieren Sie abschließend die Dateien ssleay32.dll und libeay32.dll in das WINNT\System32-Verzeichnis (wenn Sie unter Windows NT/2000/XP arbeiten) oder in das Verzeichnis Windows\System-Verzeichnis (wenn Sie unter Windows 9x/ME arbeiten!).

Zertifikat erstellen

Downloaden Sie sich diese OpenSSL-Konfigurationsdatei und speichern Sie sie im Unterordner openssl ab.

Jetzt müssen Sie ein Test-Zertifikat erstellen:
Wechseln Sie in das openssl-Verzeichnis vom Apache-Ordner, öffnen Sie die Datei openssl.exe und geben Sie dort folgende Befehle ein:

req -config openssl.cnf -new -out test-zertifikat.csr
rsa -in privkey.pem -out test-zertifikat.key
x509 -in test-zertifikat.csr -out test-zertifikat.crt -req -signkey test-zertifikat.key -days 365
x509 -in test-zertifikat.crt -out test-zertifikat.der.crt -outform DER

Wenn Sie nach Common Name gefragt werden, dann müssen Sie den genauen Server-Namen (z.B. webserver) angeben!

Sie haben jetzt ein Test-Zertifikat, dass 365 Tage gültig ist, erstellt. Nach Ablauf dieser Zeit, müssen Sie ein neues Zertifikat erstellen.

Konfiguration des Apache

Erstellen Sie einen Unterordner ssl im Apache-Konfigurationsverzeichnis und kopieren Sie die Dateien test-zertifikat.crt, test-zertifikat.der.crt und test-zertifikat.key in dieses Verzeichnis.

Öffnen Sie jetzt die Datei httpd.conf im Conf-Verzeichnis vom Apache-Webserver. Suchen Sie nach einer Zeile namens Port 80 und ersetzen Sie sie durch # Port 80. Fügen Sie jetzt an das untere Ende der httpd.conf folgendes ein:

Listen 80
Listen 443

LoadModule ssl_module c:/intranet/Apache/modules/mod_ssl.so

SSLMutex sem
SSLRandomSeed startup builtin
SSLSessionCache none

SSLLog logs/SSL.log
SSLLogLevel warn

<VirtualHost 192.168.0.1:443>
ServerName localhost
DocumentRoot c:/intranet/apache/ssl
SSLEngine On
SSLCertificateFile conf/ssl/test-zertifikat.crt
SSLCertificateKeyFile conf/ssl/test-zertifikat.key
</VirtualHost>

Anstatt c:/intranet/Apache/ssl können Sie natürlich auch einen anderen Ordner als DocumentRoot wählen. Sie müssen den Ordner, den Sie hier angegeben haben, erstellen, falls er noch nicht existiert!
Falls der Apache-Rechner nicht die IP-Adresse 192.168.0.1 hat, müssen Sie hier natürlich die richtige Adresse eintragen.

Abschließend können Sie den Apache Webserver wieder starten!

Autor: Patrick Schwarz

[ Zurück zur Übersicht ]