Apache ignoriert neues Zertifikat

Ich habe auf unserem Mac-Server ein abgelaufenes SSL-Zertifikat durch ein neues ersetzt und es wie in c’t 04/10 beschrieben in den vereinfachten Servereinstellungen eingetragen – alle Dienste bis auf den Apache-Webserver verwenden es nun. Apache liefert aber trotz vorübergehendem Anhalten über die Software Server-Admin und auch nach einem Neustart der Servermaschine stur das alte Zertifikat aus. Ich habe es sogar aus dem Schlüsselbund gelöscht und dennoch … Was also tun?

Der Zertifikatstausch über Server-Admin klappt nur dann vollständig, wenn Sie das neue Zertifikat in Server-Admin anlegen, dann das alte markieren und schließlich über das Menü darunter den Befehl „Zertifikat durch signiertes oder erneuertes Zertifikat ersetzen“ verwenden. Wenn Sie das neue Zertifikat nur in den vereinfachten Servereinstellungen eintragen, bleiben die betreffenden Konfigurationszeilen für Apache unangetastet. Den aktuellen Stand können Sie in /etc/apache2/sites/nnnn_any_443_.conf überprüfen, wobei nnnn für eine laufende Nummer steht. Die Zertifikate sind, wie im Bereich mod_ssl ersichtlich, im Ordner /etc/certificates zu finden; daher hat es auch keinen Einfluss, wenn Sie das alte Zertifikat im Schlüsselbund löschen.

Wenn Sie die drei Zertifikatspfade per Hand aktualisieren, sollte Apache nach erneutem Einlesen der Konfiguration wie gewünscht laufen. Falls Sie weitere auf Apache aufsetzende Dienste nutzen (Wiki-Server, Calender-Server etc.), sind zusätzlich händische Korrekturen an den Konfigurationsskripten erforderlich. In dem Fall sollte man doch besser zum Programm Server-Admin greifen und dort den SSL-Dienst vorübergehend abschalten. Beim erneuten Einschalten trägt die Software dann die aktuellen Dateien ein. (dz)