Nach der Installation wurde mittels des Debian-Skripts mod-ssl-makecert, welches auf dem SSL Certificate Generation Utility (mkcert.sh) aus dem mod_ssl-Paket basiert, ein X.509v3 Test-Zertifikat erstellt. Das Test-Zertifikat enthält standardmäßig einen RSA-Public-Key mit einer Schlüssellänge von 1024 Bit4 und wird in der Datei /etc/apache/ssl.crt/server.crt gespeichert. Es wird automatisch mit dem im gleichen Verzeichnis installierten Dummy-Zertifikat der ,,Snake Oil CA`` signiert (wobei der Signatur-Algorithmus ,,md5WithRSAEncryption`` verwendet wird) und hat eine Gültigkeitsdauer von einem Jahr.
Diese Zertifikate sind ausschließlich zu Test-Zwecken und nicht für den realen Einsatz (besonders im Internet) gedacht!
Die genauen Daten, die in den Zertifikaten gespeichert sind, erhält man mittels:
$ openssl x509 -noout -text -in <zertifikatname>.crt
Der zugehörige RSA-Private-Key wird standardmäßig mittels Triple-DES mit einem Paßwort, welches bei der Zertifikaterzeugung eingegeben werden muß, verschlüsselt in der Datei /etc/apache/ssl.key/server.key abgelegt.
Die Parameter des privaten RSA-Schlüssel lassen sich mit folgendem Befehl anzeigen:
$ openssl rsa -noout -text -in <dateiname>.key
Beim Starten des Apache Webservers müssen die Paßworte aller verschlüsselt gespeicherten privaten Schlüssel eingegeben werden, was z. B. das automatische Rebooten eines Servers erschwert. Falls davon ausgegangen werden kann, daß der Server genügend abgesichert ist und das automatische Neustarten des Servers ohne manuelle Eingabe der Paßwörter nötig ist, können die privaten Schlüssel bei der Generierung alternativ unverschlüsselt gespeichert werden. Nachträglich kann die Verschlüsselung wie folgt entfernt werden:
$ openssl rsa -in <verschluesselt>.key -out <entschluesselt>.key
Dabei sollte jedoch unbedingt sichergestellt werden, daß die unverschlüsselten privaten Schlüsseldateien nur von berechtigten Usern gelesen werden können (unter Unix üblicherweise nur root).