Mit „StartCom“ aus Israel gibt es seit 2009 eine weitere Zertifizierungsstelle, die es über ein Updates der Stammzertifizierungsstellen auf immer mehr Endgeräte schafft.
StartCom hat ein besonderes Angebot (Stand Juli 2010): Ein normales Class 1 Webserver-Zertifikat ist kostenfrei. Zudem gibt es kostenfrei ein OpenID genanntes Personenzertifikat für den Einsatz zur Anmeldung entsprechend kompatibler Seiten. Ebenso gibt es ein persönliches S/MIME-Zertifikat, mit dem man sich an der StartSSL-Webseite anmelden kann und auch auch Mails per S/MIME signieren oder PDF-Dateien signieren kann.
Es gibt natürlich auch kostenpflichtige Angebote, z.B. Zertifikate mit Extended Validation, Laufzeiten von mehr als 1 Jahr oder mehrere Namen (SAN/UC-Zertifikate) aber wer nur mal eben schnell einen Webserver mit einem Zertifikat versehen will, kann hier sehr einfach ein Zertifikat erhalten.
Eine Übersicht der verschiedenen Produkte ist auf https://ww.startssl.com/?app=40. Der Einstieg erfolgt über die URL: https://ww.startssl.com/?app=12. Für neue Anwender ist ein Klick auf die Express-Line der schnellste Weg.
Aber bis zum fertigen Zertifikat sind folgende Dinge zu erledigen:
Persönliches Konto anlegen
Zuerst benötigen Sie ein Konto, mit welchem Sie sich heute und später bei StartSSL authentifizieren. Durch das Einrichten eines Kontos erhalten Sie ein persönliches Zertifikat, welches sie für die späteren Anmeldungen benötigen. Sie bekommen also später keinen Benutzernamen und Kennwort sondern melden sich mit ihrem Zertifikat an.
Nun werden müssen wir explizit bestätigen, das wir die CA Policy gelesen haben. Daraufhin erhalten wir eine Email um die Gültigkeit der Daten zu validieren und den notwendigen Validation-Code.
Der Code aus der Email muss nun im Fenster eingeben werden:
Im nächsten Schritt wird der Private Schlüssel generiert, wobei man die Sicherheitsstufe auswählen kann
Der Schlüssel selbst wird dann aber über den eigenen Browser generiert. Beim Firefox poppt kurz ein kleines Fenster auf.
Danach geht es schon an die Installation des Zertifikats passend zum privaten Schlüssel.
Wenn alles geklappt hat meldet sich der Browser und bestätigt das das Zertifikat erfolgreich Installiert wurde.
Da das installierte Zertifikat nun erst mal nur in ihrem Browser installiert ist, sollten man diese natürlich schon direkt „sichern“. Beim Firefox geht das über den Zertifikatmanager (Menü Extra – Zertifikatmanager)
Domain zuweisen
Im nächsten Schritt legen wir eine Domain an für die wir später ein Zertifikat erstellen wollen. Die Länderendung kann nur aus einer Liste ausgewählt werden.
Über die Domain sendet StartSSL nun eine Mail an einer der folgenden Mailadressen postmaster@domain.tld, hostmaster@domain.tld oder webmaster@domain.tld.
Den Validation-Code müssen wir erneut in der Seite einfügen. Nun weiß StartSSL, dass wir berechtigt sin ein Zertifikate für diese Domain zu beantragen. Allerdings gilt dies nur für 30 Tage danach muss mann sich erneut validieren per Email.
Zertifikat per CSR anfordern
Auf dem nächsten Fenster sollten wir „Skip“ drücken, damit wir ein eigenes CSR einreichen können
Ein CSR können wir per Shell mit Openssl wie folgt anlegen.
openssl genrsa -out example.com.key 2048
openssl req -new -key example.com.key -out example.com.csr
Den generierten CSR können wir im nachfolgenen Formular einfügen. Dabei ist zu beachten das der Schlüssel der CSR mindstens 2048bit lang ist.
Auch wenn im Zertifikat schon der Name enthalten ist, so nutzt StartSSL diese Information nicht. Statt dessen wird die Domain aus der Liste der ihrem Konto zugeordneten Domain abgefragt
Nun müssen wir den Host angeben. Wenn das Zertfikat für keine Subdomain sein soll kommt hier ein www rein
Nun wird abgefragt ob der Host stimmt und wir das Zertifikat erstellen wollen. Dies bestätigen wir.
Nun erhalten wir unser kostenloses Zertifikat was wir direkt nutzen können.
Wenn ihr euren Namen im Zertifikat stehen habt schaut euch das StartSSL WoT Programm einmal an. Einen Blog Artikel findet ihr bei mir unter http://www.lazybone.de/startssl-wot.html