Seite 12: Defektes Zertifikat

Inhaltsverzeichnis

Klicken Sie in Server.app auf den lokalen Server und dann auf „Einstellungen“ und „SSL-Zertifikat bearbeiten“. Es erscheint ein neuer Dialog, in welchem Sie links unten aufs Getrieberad klicken und im Menü „Zertifikate verwalten“ wählen. Klicken Sie auf das „+“-Zeichen und anschließend auf „Zertifikatidentität erstellen“.

Stellen Sie sicher, dass im Feld „Name“ der Internet-Host-Name korrekt eingetragen ist (also etwa kraftpost.no-ip.org). Im Menü Identitätstyp sollte „Root, selbst-signiert“ und im Menü Zertifikatstyp „SSL-Server“ ausgewählt sein.

Klicken Sie nun auf „Standardwerte überschreiben“ und auf „Erstellen“. Geben Sie im nächsten Dialog die Seriennummer (z.B. 1) und die Gültigkeit ein (z.B. 3650 Tage) und klicken Sie auf „Fortfahren“.

Tragen Sie im Feld „E-Mail-Adresse“ eine gültige Adresse ein, beispielsweise dz@kraftpost.no-ip.org. Übernehmen Sie die übrigen Einträge. Über „Fortfahren“ gelangen Sie zu den „Informationen zum Schlüsselpaar“. Übernehmen Sie die Einstellungen (2048 Bit und RSA) mit „Fortfahren“.

Stellen Sie bei der „Schlüsselverwendung“ sicher, dass „Erweiterung ‚Schlüsselverwendung’ einschließen“, „Erweiterung ist kritisch“ und „Signatur“ angeklickt sind.

Die Vorgaben des nächsten Dialogs namens „Erweiterung ‚Erweiterte Schlüsselverwendung’“ kann man komplett übernehmen, schalten Sie aber unbedingt den „E-Mail-Schutz“ ein. Weiter sind eingeschaltet: „Erweiterung ‚Erweiterte Schlüsselverwendung’“, „Erweiterung ist kritisch“, „Beliebig“, „SSL Server-Authentifizierung“, „PKINIT-Server-Authentifizierung“ und „iChat-Verschlüsselung“. Die übrigen Optionen bleiben deaktiviert. Klicken Sie auf „Fortfahren“ und schalten Sie die Optionen „Erweiterung Grundlegende Einschränkungen einschließen“ sowie „Dieses Zertifikat als Zertifizierungsinstanz verwenden“ ein (so erzeugen Sie nebenbei Ihre eigene Certificate Authority, CA).

Über „Fortfahren“ landen Sie beim Dialog „Erweiterung ‚Alternativer Name des Inhabers’“. Die Option „Erweiterung ‚Alternativer Name des Inhabers’ einschließen“ sollte angeklickt sein und im Feld dNSSname sollte der Internet Host Name und im Feld iPAddress die private IP-Adresse des Lion-Servers stehen (z.B. 192.168.72.109). Klicken Sie auf „Fortfahren“. Wenn alles geklappt hat, erscheint als Nächstes der Dialog „Zusammenfassung“ – klicken Sie auf „Fertig“.

Kurze Zeit später fordert Server.app auf, das neue Zertifikat an seinen Platz zu exportieren; erlauben Sie das. Anschließend hat der Server die Zertifikate in das Verzeichnis /etc/certificates kopiert. Klicken Sie in Server.app auf „OK“.

Wenn Sie nun unter „SSL-Zertifikat“ auf „Bearbeiten“ klicken, können Sie im nächsten Dialog das neue Zertifikat den Serverdiensten zuordnen – also auch IMAP-Mail und SMTP-Mail. Wenn andere Dienste ebenfalls SSL-verschlüsselt kommunizieren sollen, dann stellen Sie für diese ebenfalls per Menü das neue Zertifikat ein.

Aber Vorsicht: zugleich wird damit auch der jeweilige Dienst fest auf die SSL-Kommunikation eingestellt und er ist dann nicht mehr über nichtverschlüsselnden Verkehr erreichbar. Der Web-Server etwa hört also nicht mehr auf Port 80, sondern nur per SSL auf Port 443. Klicken Sie am Ende der Zertifikatseinstellungen auf OK, um die Einstellungen zu übernehmen. Nun sollte Server.app das neue Zertifikat in seinen Menüs aufführen. Falls nicht: Server.app neu starten.

Siehe dazu auch:

• Advanced Administration Handbook
• Privacy-Patch für die IPv6-Settings

(dz)