Announcement

**Christian Marquardt** · 19.04.2009, 21:01

Wozu??

Es wird ein Zertifikat zu der gewünschten Domain gekauft und auf dem Webserver installiert. Der Webserver entsprechend zu SSL konfiguriert (Port 443)

Das hat keinen Einfluß auf die Programierung HTML-Seiten,PHP-Scripte

**eloster** · 19.04.2009, 21:04

aber wie erstelle ich den die SSL sitzung? also das ist wohl eher meine frage =)

ich möchte praktisch eine abhörsichere leitung (https) weil auch unteranderem passwörter usw. eingegeben werden!
oder reicht ein MD5 schlüssel (php session) aus? =)

**Christian Marquardt** · 19.04.2009, 21:11

Also wir reden hier von einem Shop der insgesamt oder teilweise (die Bestellung) über SSL laufen soll?

aber wie erstelle ich den die SSL sitzung?

Überhaupt nicht. Das ist Sache des Webservers und des Clients. Sofern du beispielsweise auf eine Bestellseite mittels https einen redirect durchführst, handeln das der Server und der Client alleine aus. Das hat keinen Einfluss auf die PRogrammierung.

Der Webserver muss entsprechend konfiguriert sein. Beispielsweise werden alle Seiten im Documentroot unter den Ordner "normal" als http ausgeliefert. Nun legst du deine Bestellseite in Ordner "sicher" ab. Der Webserver wird so konfiguriert, dass alles was unter "sicher" liegt per https auszuliefern ist.

Da ändert sich nichts an deiner PHP, Javascript, Mysql Programmierung

**eloster** · 19.04.2009, 21:39

genau im grunde genommen läuft das so, wie du sagtest:

der inhalt der homepage wird meistens aus der datenbank gelesen und halt als ganz normale seite angezeigt!

dann gibs es aber noch nen link, wo webshop steht und da gibs dann halt produkte usw. bla bla wie man sich das halt so vorstellt!
aber auch die admin-fläche soll über HTTPS laufen...

also muss ich ja, nach deiner aussage hin, die "normalen" seiten in den html_public ordner und den rest in einen ordner, der gesichert ist.
da fangen aber meine probleme an.. da hab ich wirklich keine ahnung!!! :-/ diesen ordner, wo dann meinetwegen, folgende datein drinne liegen:
login.php
uebersicht.php
einstellungen.php

... und wo fängt man da an? könntest du mir da nen tipp geben? =)

gruß eloster

**Christian Marquardt** · 19.04.2009, 21:44

Na, du schreibst die Scripte für das Login (das nichts mit SSL zu tun hat), die Einstellungen usw.

Fertig

**eloster** · 19.04.2009, 21:55

öhm... japp... es gibt dann also benutzer in der datenbank und dann gibs 2 textfelder, submitbutton usw.

aber wenn man dort auf submit drückt, dann werden doch die daten gesendet! die werte ich ja auf der selben seite oben aus mit u.a. $_POST["tfname"] z.b. ... kann man da die daten nicht abfangen bzw. manipulieren? und an der stelle dachte ich, dass man SSL einbaut, um die sicherheit zu gewährleisten!? oder nicht? :-/

**Christian Marquardt** · 20.04.2009, 05:22

Nein, diese Art der Sicherheit hat nichts mit SSL zu tun

**Falk Prüfer** · 20.04.2009, 09:24

Hallo,

Wie Christian schon gesagt hat, ist SSL ein Standard für eine verschlüsselte Übertragung und hat nichts mit Programmierung zu tun. Das spezielle Protokoll für eine gesicherte Verbindung zwischen einem Webserver und einem Client ist HTTPS, welches i.a.R. SSL benutzt (muß es aber nicht).
Um auf einem Webserver HTTPS mit SSL benutzen zu können, mußt du folgendes tun:

den Server um SSL-Funktionalität erweitern (z.B. bei Apache mod_ssl)
ein SSL-Zertifikat bei einer Zertifizierungsstelle beantragen (kostenpflichtig) (zu Testzwecken kann man auch ein eigenes Zertifikat erstellen) - OpenSSL
die Konfiguration des Webservers anpassen

Wenn alles sauber installiert und konfiguriert ist kann man dann einfach https://meinsichererserver.test aufrufen und hat automatisch eine mit SSL verschlüsselte Verbindung. Die Scripte die verschlüsselt sein müssen können ja die ServerVariablen abprüfen und ggfs. ein Redirect auf sich selbst mit https machen, falls sie nur über http aufgerufen wurden.

SSL für Apache: http://httpd.apache.org/docs/2.0/ssl/ssl_intro.html

Gruß Falk

**eloster** · 20.04.2009, 10:58

hey leute,
danke schon mal für die hilfestellungen von euch!
ich hab mir heute 2 bücher ausgeliehen, in denen auch was über ssl und apache drin steht.

aso, was ich noch kurz anfügen wollte, ich weiß, dass ssl nix mit php und sonstigen sachen zu tun hat! das war nur so nen nebeninfo, im grunde genommen völlig uninteressant!!!! =)

also ich werd mich dann heute und morgen mal damit befassen und hoffe, dass ich das hinbekomme, ohne euch lange zu nerven!
den apache bei win kann man per doppelklick auf "start_xampp.exe" machen, da öffnet sich ja die dos konsole! ihr meinet, dass man das umstellen muss... ich versuchs erstmal alleine, wenn nich funzt, frag ich euch!!!

aber wirklich danke danke danke an euch, dass ihr mir hilft! =)
gruß

EDIT:
liege ich eigentlich mit der annahme richtig, dass wenn man bei der firma verisign nen zertifikat kauft, dass auf den webspace läd und dann das zertifikat benutzt wird?

**Christian Marquardt** · 20.04.2009, 11:06

liege ich eigentlich mit der annahme richtig, dass wenn man bei der firma verisign nen zertifikat kauft, dass auf den webspace läd und dann das zertifikat benutzt wird?

joo, oder bei anderen Trustcentern

**eloster** · 21.04.2009, 11:49

okay leute, ich hab endlich die SSL unterstützung auf "aktiv" geschaltet bekommen!

was sollte man denn jetzt als nächstes machen? nen testzertifikat erstellen?

EDIT:
ich hab grade versucht ne sichere verbindung herzustellen, indem ich in der browserleiste: htttps://localhost/konvert_name.html eingegeben habe. die html-datei is nur beliebig, aber er sagt mir, dass das zertifikat aufgelaufen sei (04.12.2006) und das es nicht beglaubigt wird, weil es sich selbst unterschreibt!

leider hab ich nur das buch hier, wo man mit linux arbeitet :-/

EDIT 2:
aber hau die wald

ich hab selber nen testzertifikat hinbekommen! jibbie =) weiter gehts... ich meld mich wieder!

EDIT 3:
http://www.heimpold.de/mhei/mini-how...erstellung.htm

ich bin jetzt ziemlich weit unten angekommen... aber irgendwie will er da nich mehr so richtig mitmachen... :-/
bin jetzt genau vor dem absatz bei 4. mit dem langen ssl-befehl!

könnt ihr mir nen tipp geben, ob das richtig is, was da steht!?

**eloster** · 21.04.2009, 23:27

abend leute,
ich hab heute also geschlagene 6std probiert, meinem browser beizubringen, dass er über eine https-sitzung gehen soll.
dazu benötige ich ja so ein lustiges zertifikat... ich hab das zertifikat erstellt und ist jetzt auch bis 2010 "haltbar".

jetzt zeigt mit ff3 an:
localhost:443 verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil es selbst unterschrieben wurde.
Das Zertifikat gilt nur für <a id="cert_domain_link" title="test">test</a>.

(Fehlercode: sec_error_ca_cert_invalid)

ich hab zwar schon gegoogelt, aber es kam nix sinnvolles dabei raus... kann mir jemand weiterhelfen?

**Christian Marquardt** · 22.04.2009, 06:29

Der Hinweis WELCHER Browser könnte hilfreich sein

Ansonsten

http://www.fengshui-shopping.de/feng...uberkugeln.htm

**Falk Prüfer** · 22.04.2009, 09:14

Hallo,

Originally posted by eloster View Post

...jetzt zeigt mit ff3 an:
localhost:443 verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil es selbst unterschrieben wurde.
Das Zertifikat gilt nur für <a id="cert_domain_link" title="test">test</a>.

(Fehlercode: sec_error_ca_cert_invalid)

Damit mußt du leben, wenn du ein Selbsterstelltes und Selbstunterschriebenes Zertifikat verwendest. Damit du damit testen kannst fügst du am besten eine Ausnahme für dieses Zertifikat hinzu.

Gruß Falk

Announcement

Administrationsoberfläche mit SSL realisieren

Administrationsoberfläche mit SSL realisieren

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment