https://wiki.frotmail.nl/index.php?action=history&feed=atom&title=Apache_met_sslApache met ssl - Revision history2026-05-12T17:00:46ZRevision history for this page on the wikiMediaWiki 1.45.3https://wiki.frotmail.nl/index.php?title=Apache_met_ssl&diff=52&oldid=prevEric: Created page with "secure webserver op slackware met apache en mod_ssl korte handleiding om met slackware 8.1 een secure webserver op te zetten. = Certificaat maken = Ik gebruik de minder veilige methode (unencrypted key in /etc/apache/ssl.key) zodat ik niet bij elke herstart van apache een wachtwoord in hoef te geven. Zolang /etc/apache/ssl.key alleen door root leesbaar is vallen de risico's imho wel mee. nodig (ik ga uit van slackware packages): apache, openssh, mod_ssl Even e..."2022-04-05T09:14:18Z<p>Created page with "secure webserver op slackware met apache en mod_ssl korte handleiding om met slackware 8.1 een secure webserver op te zetten. = Certificaat maken = Ik gebruik de minder veilige methode (unencrypted key in /etc/apache/ssl.key) zodat ik niet bij elke herstart van apache een wachtwoord in hoef te geven. Zolang /etc/apache/ssl.key alleen door root leesbaar is vallen de risico's imho wel mee. nodig (ik ga uit van slackware packages): apache, openssh, mod_ssl Even e..."</p>
<p><b>New page</b></p><div>secure webserver op slackware met apache en mod_ssl<br />
<br />
korte handleiding om met slackware 8.1 een secure webserver op te zetten.<br />
<br />
= Certificaat maken =<br />
Ik gebruik de minder veilige methode (unencrypted key in /etc/apache/ssl.key) zodat ik niet bij elke herstart van apache een wachtwoord in hoef te geven.<br />
<br />
Zolang /etc/apache/ssl.key alleen door root leesbaar is vallen de risico's imho wel mee.<br />
<br />
nodig (ik ga uit van slackware packages):<br />
<br />
apache, <br />
openssh, <br />
mod_ssl<br />
<br />
Even een tijdelijke werkmap maken<br />
mkdir ssltemp<br />
cd ssltemp<br />
<br />
key maken:<br />
openssl genrsa -des3 -out server.key 1024<br />
<br />
eventueel bekijken (jeuj??)<br />
openssl rsa -noout -text -in server.key<br />
<br />
un-encrypted key maken zodat we straks geen password hoeven in te voeren bij het starten van apache<br />
openssl rsa -in server.key -out server.key.unsecure<br />
<br />
request maken van de key:<br />
er wordt wat info gevraagd, alleen de commonname is<br />
echt belangrijk: dit moet je echte hostnaam (fqdn) zijn,<br />
waaronder je site straks bereikbaar is.<br />
openssl req -new -key server.key -out server.csr<br />
<br />
Omdat we onze eigen key maken en niet gaan dokken moeten we ons eigen certificaat ondertekenen, hiervoor heb je een CA.<br />
/etc/ssl/misc/CA.pl -newca<br />
hier wordt weer wat info gevraagd, dit is dus niet voor je site, maar voor<br />
je CA.<br />
<br />
CA.pl verwacht newreq.pem als requestnaam,<br />
ff het straks gemaakte request hernoemen:<br />
cp server.csr newreq.pem<br />
<br />
sign je request:<br />
/etc/ssl/misc/CA.pl -signCA<br />
<br />
de unencrypte key naar de goede plek:<br />
cp server.key.unsecure /etc/apache/ssl.key/server.key<br />
<br />
het certificaat ook:<br />
cp newcert.pem /etc/apache/ssl.crt/server.crt<br />
<br />
= Apache configgen = <br />
<br />
zorg dat apache z'n mutex zooi kan schrijven<br />
(er van uitgaande dat apache als nobody draait)<br />
(zie ook hier)<br />
<br />
chown nobody /var/log/apache/<br />
<br />
Activeer de mod_ssl door in httpd.conf onderaan <br />
<br />
#Include /etc/apache/mod_ssl.conf<br />
<br />
te vervangen met<br />
<br />
Include /etc/apache/mod_ssl.conf<br />
<br />
dus dat hekje weghalen<br />
<br />
Eventueel kan je nog extra settings aanpassen in /etc/apache/mod_ssl.conf<br />
en dan tenslotte apache herstarten<br />
<br />
apachectl stop<br />
apachectl startssl<br />
<br />
et voila<br />
<br />
https://jouw.host.naam<br />
<br />
[[Category:Linux]]</div>Eric