http://kb.gnuher.de/various/HOWTO%20-%20SSL%20Zertifikat%20erneuern.txt

SSL Zertifikat erneuern
=======================

  0. Inhalt
  ---------
  1. Worum geht's?
  2. Neues Zertifikat bestellen
  3. Zertifikat einspielen
    3.1. Apache 2
    3.2. Exim/Dovecot
    3.3. UUCP
  4. wichtige Kommandos
  5. Autor



  1. Worum geht's?
  ----------------

Das SSL Zertifikat für ungesichert.de gilt 1 Jahr. Danach muss es erneuert,
d.h. der Public Key durch ausgetauscht werden.


  2. Neues Zertifikat bestellen
  -----------------------------

Das macht man im Admin Menü von 1&1: https://login.1und1.de/

Zurück kommt eine Email an ssladmin at ungesichert.de mit einem Link, den
man anklicken muss. Danach wird das neue Zertifikat (=von der CA
unterschriebener Public Key) per Mail zugeschickt bzw. ist im o.g. Admin
Menü von 1&1 abrufbar.

*Achtung* ssladmin at ungesichert.de zeigt auf root at ungesichert.de und
das wiederum kommt derzeit nur bei Settel raus.


  3. Zertifikat einbinden
  -----------------------

  3.1. Apache 2
  -------------

In /etc/apache2/ssl/ die Datei ungesichert.de.pem editieren. Dabei den alten
Public Key löschen und den neuen reinsetzen. Der Private Key bleibt
unverändert. Anschließend den Hash Symlink (die Hexzahl mit angehängtem .0)
auf ungesichert.de.pem entfernen und einen neuen Link anlegen. 
ln -s ungesichert.de.pem "$(openssl x509 -hash <ungesichert.de.pem | head -n 1 ).0"

Apache restarten und Änderungen ins SVN einchecken nicht vergessen.



  3.2 Exim/Dovecot
  ----------------

Exim und dovecot sind so konfiguriert, dass die die Zertifikate in
/etc/exim4/ungesichert.de.cert.pem und den Schlüssel unter /etc/exim4/ungesichert.de.key.pem
suchen.

Die Zertifikatsdatei sollte den die Ausgabe von openssl x509 -text <ungesichert.de.pem
enthalten außerdem das Zertifikat selbst und das Zertifikat der CA. Dieses
ist bis 2020 gültig und kann daher aus der alten Datei übernommen werden.

Hinweis 15.6.07:
1&1 liefert neuerdings anscheinend Schlüssel im PKCS8 Format. Um diese mit
dem Exim zu verwenden muss man diese ins alte Format wandeln.

Diese geht mit folgendem Befehl:

openssl pkcs8 -in pkcs8.key.pem -nocrypt -out altes-format.key.pem


  3.3 UUCP
  --------

UUCP verwendet bisher noch Zertifikate der "Gnuher.de-CA", da hierbei
auch die Clientzertifikate geprüft werden.  Das UUCP-Serverzertifikat
ist noch gültig bis Juli 2008.  Einziger Client ist momentan Matthias
(Zertifikat bis Nov. 2006)



  4. Wichtige Kommandos
  ---------------------

* Hash Value erzeugen, der für Symlinks gebraucht wird

    openssl x509 -hash <zertifikat | head -n1


* Zertifikat in Textform ausgeben

    openssl x509 -text <zertifikat



  5. Autoren
  ----------

Settel, Sven