Installing your Certificate on Apache with mod_ssl

1. Extract all of the contents of the ZIP file that was sent to you and copy/move them to your server. The extracted contents will typically be named: yourDomainName.crt and yourDomainName.ca-bundle
   
   
2. Move all of the certificate related files to their appropriate directories.
   
   A typical setup:
   • Move the Private Key that was generated earlier to the ssl.key directory, which is typically found in /etc/ssl/. This must be a directory which only Apache can access.
   • Move the yourDomainName.crt and yourDomainName.ca-bundle to the ssl.crt directory, which is typically found in the /etc/ssl/ directory.
     
     
3. Edit the file that contains the SSL configuration with your favorite text editor.
   Examples: nano, vi, pico, emacs, mousepad, notepad, notepad++, etc.
   Note: The location of this file may vary from each distribution. It will be referenced in the Apache global configuration file. Look for the lines starting with include.
   
   Apache Configuration File:
   Fedora/CentOS/RHEL: /etc/httpd/conf/httpd.conf
   Debian and Debian based: /etc/apache2/apache2.conf
   
   
   SSL Configuration File:
   
   Some possible names:
   
   • httpd-ssl.conf
   • ssl.conf
   • In the /etc/apache2/sites-enabled/ directory.
     
     Note: If need be please consult your distribuiton's documentation on Apache and SSL or navigate to the Apache Foundation's Apache2 Documentation.
     
     
4. In the VirtualHost section of the file please add these directives if they do not exist. It is best to comment out what is already there and add the below entries.
   • SSLEngine on
   • SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
   • SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
   • SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle ***
     
     
5. Save your config file and restart the Apache service.

 

***Apache 1.x:
Please use SSLCACertificateFile instead of SSLCertificateChainFile.
Note: The above paths in the directives are only used as examples. Your server may have a different path and may need to be modified to suit your needs.

Legg til sertifikatene til Keystore

Hvordan legge til rot, mellomliggende og domene sertifikat filene:
Hver gang du installerer et sertifikat til keystore må du oppgi passordet til din keystore som du brukt når du laget den.

1. Rot sertifikat: Skriv følgende kommando for å installere Rot sertifikatet filen: 
   keytool -import -trustcacerts -alias root -file RotSertFil.crt -keystore keystore.key
Hvis du får en melding som sier "Certificate already exists in system-wide CA keystore under alias <...> Do you still want to add it to your own keystore? [no]:", Velger du Yes. Hvis det fungerte vil du mottatt følgende melding "Certificate was added to keystore".
   
   
2. Mellomliggende sertifikat: Skriv følgende kommando for å installere Mellomliggende sertifikatet filen:
   keytool -import -trustcacerts -alias intermediate -file MellomliggendeSertFil.crt -keystore keystore.key
Hvis det fungerte vil du mottatt følgende melding "Certificate was added to keystore".
   
   
3. Domene sertifikat: Skriv inn følgende kommando for å installere sertifikatet til ditt domene:
   (husk å bruk samme alias som er brukt til private nøkkelen)
   keytool -import -trustcacerts -alias tomcat -file DomeneSertFil.crt -keystore keystore.key
Hvis det fungerte vil du mottatt følgende melding "Certificate reply was installed in keystore".

Nå er alle sertifikatene installert i din keystore fil, det som gjenstår nå er å konfigurere din server til å bruke keystore filen.

 

Konfigurere din SSL Connector

Tomcat krever at SSL Connector er konfigurert før den kan akseptere sikre tilkoblinger.

Standardinnstillingen til Tomcat ser etter en Keystore med filnavn som slutter på .keystore i hjemmet katalog med standard passord "changeit". Hjemmet katalogen er vanligvis /home/brukernavn/ på Unix og Linux systemer, og C:\Documents and Settings\brukernavn\ på Microsoft Windows systemer. Du har mulighet til å endre passord og filplassering.

1. Kopiere keystore filen (keystore.key) til hjemmeområdet.
2. Åpne filen ${CATALINA_HOME}/conf/server.xml i en teksteditor.
3. Avkommenter SSL Connector konfigurasjonen.
4. Kontroller at Connector Port er 443.
5. Kontroller at keystorePass samsvarer med passordet for keystore og keystoreFile inneholder banen og filnavnet til din keystore.
   Når du er ferdig burte din Connector se omtrent slik ut:
   <Connector className="org.apache.catalina.connector.http.HttpConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="10" debug="0" scheme="https" secure="true">
<Factory className="org.apache.catalina.net.SSLServerSocketFactory" clientAuth="false" protocol="TLS" keystoreFile="/mappe/keystore.key" keystorePass="passord"/>
   
   
6. Lagre endringen til server.xml
7. Gjør en omstart av Tomcat

For å installere Rot og Mellomliggende sertifikater med MMC gjør følgende:

For å installere Rot og Mellomliggende sertifikater på Exchange 2007 MÅ MMC benyttes, ikke IIS!
NB: Det er viktig at Rot og Mellomliggende sertifikater installeres FØR du installerer domenesertifikatet!

1. Åpne Microsoft Management Console (MMC)
   
   
   
   Start -> Run -> Skriv inn "mmc" (uten hermetegn) og klikk 'OK' eller trykk på Enter på tastaturet.
   
   
2. Åpne 'Add/Remove Snap-in' vinduet
   
   
   
   File -> Add/Remove Snap-in
   
   
3. Legg til Certificates Snap-in
   
   
   
    
   
   Klikk 'Add' og deretter dobbeltklikk på 'Certificates'
   
   
4. Velg 'Computer Account' og klikk 'Next'
   
   
   
   NB: Dette steget er veldig viktig. Det må være 'Computer Account' og ingen annen konto
   
   
5. Velg 'Local Computer' og klikk 'Finish'
   
   
   
   
6. Lukk 'Add Standalone Snap-in' vinduet og klikk 'OK' i 'Add/Remove Snap-in' vinduet.
   
   
7. Du vil nå bli sendt tilbake til MMC.

 

Installer / importer Rot og Mellomliggende sertifikater

Utvid sertifikatseksjonen ved å klikke på plusstegnet (+) slik at det blir et minustegn (-) for å vise 'Certificates' treet.

Installer Rot-sertifikatet

1. Høyreklikk på 'Trusted Root Certification Authorities', velg 'All Tasks', og velg deretter 'Import'.
   
   
   
   
2. Klikk 'Next'.
   
   
   
   
3. Finn Rot-sertifikatet og klikk 'Next'.
   
   
   
   Når guiden er utført, klikk 'Finish'.

 

Installer Mellomliggende-sertifikat(er):

Det kan ofte være flere enn bare ett Mellomliggende sertifikat.

Prosessen er akkurat den samme bortsett fra at du skal velge 'Intermediate Certification Authorities' i stedet for 'Trusted Root Certificate Authorities' og at filen(e) som skal importeres er de filene som er igjen utenom ditt domene-sertifikat.

For å installere sertifikat på Exchange 2007 gjør følgende:

1. Installer Intermediate og Root sertifikatene via MMC (NB: Viktig at dette gjøres FØR neste steg)
2. Kjør følgende script:
   Import-ExchangeCertificate -Path C:\sertifikat.crt | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"
   PS: velg kun de services du trenger. Fjern de du ikke trenger ovenfor.
3. Bekreft installasjonen:
   Get-ExchangeCertificate -DomainName www.domene.no
   • S = SMTP
   • I = IMAP
   • P = POP
   • U = Unified Messaging
   • W = Web/IIS

PS: hvis du ønsker å legge til flere servicer senere på sertifikatet, gjør følgende:
Enable-ExchangeCertificate -Thumbprint [lim inn thumbprint her] -Services "SMTP, IMAP, POP, IIS"

Thumbprint får du ved å liste sertifikatet med Get-ExchangeCertificate -DomainName sertifikat.crt

Restart Websiten ved hjelp av IIS.

NB: Dersom din webside fortsatt viser sertifikatfeil, er det mulig du må stoppe og starte websiten eller til og med IIS tjenesten selv. Dersom dette også feiler må man restarte selve serveren. Husk at restarting av serveren kun skal brukes som en siste utvei.

 

Dersom du skal installere sertifikatet på flere Exchange 2007, må du gjøre følgende:

1. Eksportere med privat nøkkel (.pfx) fra den første serveren
2. Importer pfx inn i den neste Exchange-serveren
3. Start commando-shellet
   • Enable-ExchangeCertificate -Thumbprint [lim inn thumbprint her] -Services "SMTP, IMAP, POP, IIS"
   • Get-ExchangeCertificate -DomainName www.domene.no 

Last ned og åpne ZIP-filen som inneholder sertifikatet. Pakk ut .cer-filen og lagre til et sted som du enkelt kan navigere til i fremtiden.
Kopier .cer-filen til Exchange-serveren.

Fra Exchange Management Shell, kjører du følgende kommando for å installere server-, rot-, og mellomliggende sertifikater til sine respektive sertifikat lagre (key store):
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path c:\certificates\YOUR_CERTIFICATE.cer -Encoding byte -ReadCount 0))

Pass på at det ikke er noen mellomrom i stien. Dette bør gi et thumbprint. (Hvis du har mistet ditt thumbprint, kan du kopiere den fra MMC Certificates Snap-in.)

Deretter, for å aktivere tjenestene, kjører du følgende:
Enable-ExchangeCertificate -Thumbprint your_thumbprint -Services "POP,IMAP,SMTP,IIS"
(Dette forutsetter at du skal kjøre alle 4-tjenester)

1. Last ned og åpne ZIP-filen som inneholder sertifikatet. Pakk ut .cer-filen og lagre til et sted som du enkelt kan navigere til i fremtiden.
2. Kopier .cer-filen til Exchange-serveren.
3. Start Exchange Management Console ved å gå til Start > Programs > Microsoft Exchange 2010 > Exchange Management Console.
4. Klikk på linken til Manage Databases, og gå deretter til Server configuration.
5. Velg sertifikatet fra menyen i midt-knappen på skjermen (Friendly Name spesifisert under CSR genereringsprosessen), og klikk så på linken i Actions-menyen (til høyre) for å  Complete Pending Request.
6. Led frem til din sertifikatfil, klikk Open deretter Complete.
7. For å aktivere ditt sertifikat før bruk, velg Server Configuration og klikk på linken for å Assign Services to Certificate (til høyre). Alternativt kan du høyreklikke på sertifikatet ditt og velge Assign Services to Certificate.
8. Velg din server fra listen og klikk Next.
9. Velg tjenestene som du ønsker å gjøre tilgjengelig for ditt nye sertifikat, klikk Next, Assign og så Finish.
10. Du har nå et SSL sertifikat installert og aktivert for bruk med Exchange.

Viktig: Klikk her dersom du trenger å installere rot og mellomliggende sertifikater manuelt.

1. Select Administrative Tools
2. Start Internet Services Manager
3. Open the properties window for the website. You can do this by right clicking on the Default Website and selecting Properties from the menu
4. Open Directory Security by right clicking on the Directory Security tab
5. Click Server Certificate. The following Wizard will appear:
6. Choose to Process the Pending Request and Install the Certificate. Click Next
7. Enter the location of your IIS SSL certificate (you may also browse to locate your IIS SSL certificate), and then click Next
8. Read the summary screen to be sure that you are processing the correct certificate, and then click Next
9. You will see a confirmation screen. When you have read this information, click Next
10. You now have an IIS SSL server certificate installed

Important: You must now restart the computer to complete the install

If you need to install the Root and Intermediate certificates manually, please see manual installation of Root and Intermediate Certificates

• Klikk på Start.
• Velg Administrative Tools.
• Start Internet Services Manager.
• Klikk Server Name.
• Fra sentrum menyen, dobbeltklikk på Server Certificates-knappen i Security-delen.
• Velg Actions-menyen (til høyre), klikk på Complete Certificate Request.
• Dette vil åpne Complete Certificate Request-veiviseren.
• Skriv inn plasseringen til SSL sertifikat (du må bla for å finne SSL sertifikatet som ble sendt til deg (”dittsertifikat.crt"). Deretter skriver du inn et egendefinert navn . Dette navnet er ikke en del av sertifikatet, men brukes av serveradministratoren for enkelt å skille sertifikatet fra andre. Klikk deretter Ok.

Merk: Det er et kjent problem i IIS 7 å gi følgende feilmelding: "Cannot find the certificate request associated with this certificate file. A certificate request must be completed on the computer where it was created." Du kan også få en melding om "ASN1 bad tag value met". Hvis dette er samme server som du genererte CSR på, vil sertifikatet i de fleste tilfeller faktisk være installert. Avbryt dialogen og trykk "F5" for å oppdatere listen over serversertifikater. Hvis det nye sertifikatet nå er i listen, kan du fortsette med neste trinn. Hvis det ikke er i listen, må du utstede sertifikatet ved hjelp av en ny CSR.

• Etter at sertifikatet er installert på serveren, må du tilordne dette sertifikatet til den aktuelle websiten på IIS.
• Fra Connections-menyen i hovedvinduet Internet Information Services (IIS) Manager vinduet, velger du navnet på serveren der sertifikatet ble installert.
• Under Sites, velger du websiten som skal sikres med SSL.
• Fra Actions-menyen (til høyre), klikk på Bindings.
• Dette vil åpne Site Bindings vinduet.
• I Site Bindings vindu, klikk Add. Dette vil åpne Add Site Binding vinduet.
• Under Type velg https. IP-adressen skal være IP adress of the site eller All Unassigned, og porten som trafikken blir sikret med SSL er vanligvis 443. SSL Certificate-feltet skal spesifisere sertifikatet som ble installert tidligere.
• Klikk OK.

Du har nå et IIS SSL serversertifikat installert.

Viktig: Du må nå starte IIS / nettsiden for å fullføre installasjonen av sertifikatet

Når du har fullført trinnene ovenfor må du installere rot og mellomliggende sertifikater manuelt. Klikk her for installasjonsinstruksjoner om hvordan du manuelt installerer rot og mellomliggende sertifikater.

For å installere sertifikatene må du slå sammen sertifikatene med Key Ring filen.
Dette må gjøres for begge root sertifikatene du får tilsendt.

• I Notes, fra administrasjonspanelet, klikk på System Databases og velg Open Domino Server Certificate Administration (CERTSRV.NSF) på den lokal maskinen
• Klikk Install trusted root Certificate into Key Ring (valg 3)
• Skriv inn filnavnet for Key Ring der du skal lagre dette sertifikatet.  Key Ring filen ble opprettet da du lagde ditt CSR.
• Velg tilhørende sertifikat-fil fra zip filen som du fikk pr. epost
• Velg File i ”Certificate Sources” feltet.  Skriv inn filnavnet

Du vil trenge å importere sertifikatene i denne rekkefølgen:

1. Root sertifikat
2. Mellomliggende CA sertifikat

• Velg ”Merge Certificate into Key Ring”
• Skriv inn passordet for server nøkkelring filen og klikk OK for å godkjenne sammenslåingen

Når alle root sertifikatene er installert må du installere sertifikatet for siden på følgende måte:

• Klikk på Install Certificate into Key Ring (valg 4)
• Skriv inn filnavnet for Key Ring filen som skal lagre dette sertifikatet.  Key Ring filen ble opprettet da du lagde ditt CSR.
• Pakk ut zip-filen som var vedlagt den eposten du mottok
• Velg File i ”Certificate Sources” feltet.  Skriv inn filnavnet
• Klikk på ”Merge Certificate into Key Ring”
• Skriv inn passordet for server nøkkelring filen og klikk OK for å godkjenne sammenslåingen

For mer informasjon vennligst se i server-dokumentasjonen. 

• Start WebSTAR Admin verktøyet og logg inn til din WebSTAR 4 server
• 
  Under Edit, åpne Server Settings
• 
  Velg SSL Security
• 
  NB: Om WebSTAR Admin verktøyet ikke har en SSL Security setting så må du reinstallere WebSTAR 4 for å tillate SSL serving
• Velg server IP adressen som tilsvarer det domenenavnet du ønsker å bruke sertifikatet med
• 
  Fra Security drop-down menyen velg SSL2&SSL3
• 
  Bak SSL Certificate File feltet klikk på Choose knappen for å velge din sertifikat fil
• 
  Bak Private Key File feltet klikk på Choose knappen og velg den private nøkkelen du lagde
• Skriv inn passordet for denne nøkkelen i Private Key Password feltet
• 
  Under Encryption Options velger du alle muligheter, bortsett fra MAC (ingen kryptering)
• 
  Klikk Save knappen og avslutt WebSTAR Admin verktøyet
• 
  Restart serveren