• checksum – is a blisteringly fast, no-nonsense file hashing application for Windows that generates and verifies SHA1 and MD5 hashes
• Web Developer Extension – adds various web developer tools to a browser. The extension is available for Firefox and Chrome, and will run on any platform that these browsers support including Windows, Mac OS X and Linux.
• renameutils – are a set of programs designed to make renaming of files faster and less cumbersome.
• Lion DiskMaker – is a small application programmed with AppleScript that you can use with Mac OS X 10.6 or 10.7 to burn a DVD or build a bootable USB key from Mac OS X Lion’s Installation programm.
• ipswDownloader – Simple app for downloading firmware for Apple iPhone / iPad / iPod Touch.
• LiveReload – monitors changes in the file system. As soon as you save a file, it is preprocessed as needed, and the browser is refreshed.
• LESS.app – extends CSS with variables, nested rules, operators and more. If you're still building websites without it, you're an idiot. This app makes it dead simple to use {Less} by automatically compiling *.less files into standard CSS.
• Project Hamster – is time tracking for individuals. It helps you to keep track on how much time you have spent during the day on activities you choose to track.
• ControlPlane – Using a number of configurable evidence sources, rules and actions you can reconfigure your Mac based on what you are doing, where you are at or the time of day.  Set the office printer as your default printer while at work or start a set of apps once you’re home.
• pow – is a zero-config Rack server for Mac OS X

• ScreenSharingMenulet – connect to local and Back to My Mac hosts via Screen Sharing from the menu bar
• Using the Rake Build Language –
• Message Header Analysis Tool – Extract a message header from a mail you want to investigate. Copy/Paste into the box above and click on "ANALYSE"
• TotalTerminal – provides a persistent Visor Window which slides down when you press a hot-key. Remember Quake Console?
• pexpect – is a pure Python module that makes Python a better tool for controlling and automating other programs.
• vimwiki – is a personal wiki for Vim. A number of linked text files that have their own syntax highlighting.
• spiped – is a utility for creating symmetrically encrypted and authenticated pipes between socket addresses. This is similar to 'ssh -L' functionality, but does not use SSH and requires a pre-shared symmetric key.
• A simple Ruby command-line application skeleton –
• Download Time Calculator – calculates the time needed for downloading a file with a specified connection speed and file size
• SafariOmnibar – is a Safari SIMBL plugin aiming at mimicing the Chrome's smart location bar which combines location and search.

Wenn man einen Webserver unter Mac OS X betreibt, und ausserdem möchte, dass die gesamte Kommunikation mit diesem verschlüsselt abläuft, wird man sich früher oder später mit dem mod_ssl-Modul des Apache Webservers befassen. Dieses fantastische Stück Software sorgt beispielsweise dafür, dass nicht jeder der im gleichen WLAN sitzt oder sonst irgendwie den Datenverkehr mitschneiden kann, auch die Usernamen, Passwörter oder sonstige interessante Daten frei Haus erhält. In dem oben stehenden Bild ist mein Login über HTTP schön zu sehen¹.

Wie man das ganze unter OS X recht flugs, allerdings auch nicht so richtig geeignet für ein echtes Produktivsystem, hin bekommt wird hier in fünf Schritten beschrieben.

1. Erstellung einer eigenen Certification Authority (CA)
2. Erstellung eines Private Key für den Web Server
3. Erstellung eines Certificate Request für den gerade erstellten Private Key des Webservers
4. Unterschreiben des Certificate Request mit dem Key der CA
5. Anpassen der Apache-Configs

Weiter geht es nach dem Klick…

Erstellung einer eigenen Certification Authority

Man erstellt auf der Konsole in seinem “Dokumente” Verzeichnis einen neuen Ordner und wechselt hinein. So sind die Zertifikate hübsch ordentlich aufgehoben.

cd ~/Documents mkdir certs cd certs

In diesem Verzeichnis wird dann mit dem CA.pl Script eine neue Certification Authority erstellt.

/System/Library/OpenSSL/misc/CA.pl -newca

You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank.

Die folgenden Fragen sollte man so beantworten, dass die Herkunft der CA für Besucher des verschlüsselten Servers erkennbar ist. Bei mir etwa so:

Country Name (2 letter code) [AU]:DE State or Province Name (full name) [Some-State]:NRW Locality Name (eg, city) []:Essen Organization Name (eg, company) [Internet Widgits Pty Ltd]:. Organizational Unit Name (eg, section) []:. Common Name (eg, YOUR name) []:Dennis TestCA Email Address []:dennis@instant-thinking.de

Jetzt existiert in dem certs Verzeichnis eine neue CA in einem eigenen Ordner:

certs/ -- demoCA |-- cacert.pem |-- certs |-- crl |-- index.txt |-- newcerts |-- private |-- cakey.pem `-- serial

Erstellung eines Private Key für den Web Server

Mit dem folgenden openssl Befehl wird nun ein private key für den Webserver erstellt.

openssl genrsa -des3 -out webserver.key 1024

Bei der darauf folgenden Passwortabfrage, sollte man eines wählen, das von dem Passwort der CA abweicht.

Generating RSA private key, 1024 bit long modulus ...................++++++ ................++++++ e is 65537 (0x10001) Enter pass phrase for webserver.key: Verifying - Enter pass phrase for webserver.key:

Aus praktischen Gründen wird jetzt noch ein Schlüssel ohne die Passphrase erstellt:

openssl rsa -in webserver.key -out webserver.nopass.key Enter pass phrase for webserver.key: writing RSA key

Der Schlüssel mit Passphrase ist jetzt webserver.key und der ohne ist webserver.nopass.key.

Diese Übung ist nötig, weil ein Webserver der mit einem Zertifikat mit Passphrase verschlüsselt, diese Passphrase bei jedem Neustart des Servers erwartet. Das würde für einen normalen Mac bedeuten, dass der Start des Systems hängt, da der Apache auf die Eingabe der Passphrase wartet. Man kann den Mac zwar im Verbose-Mode booten und die Eingabe vornehmen, komfortabel ist das aber nicht.

Erstellung eines Certificate Request für den gerade erstellten Private Key des Webservers

Für den gerade erstellten Schlüssel wird nun eine Zertifikatsanforderung² erstellt. Diese wird dann im nächsten Schritt mit dem Schlüssel der CA unterschrieben.

openssl req -config /System/Library/OpenSSL/openssl.cnf -new -key webserver.key -out newreq.pem -days 3650

Bei der folgenden Abfrage ist es wichtig darauf zu achten, dass bei “Common Name (eg, YOUR name)” der wirkliche Name des Servers eingetragen wird, unter dem er auch später erreichbar sein soll. Bei einem Test auf dem lokalen System wäre das z.B. “localhost” oder “127.0.0.1″. Bei einem Test in einem lokalen Netz ohne Namensauflösung z.B. “192.168.1.6″ und bei einem System das unter einem DNS-Namen erreichbar ist eben dieser. Wenn hier nicht der exakt passende Name des Servers steht wird es später zu Zertifikatsfehlern kommen, YMMV.

Die Extra Attribute “challenge password” und “company name” können leer gelassen werden.

Enter pass phrase for webserver.key: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value,

Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

Damit wurde die Zertifikatsanforderung newreq.pem erstellt.

Unterschreiben des Certificate Request mit dem Key der CA

Mit dem folgenden Befehl wird das Unterschreiben der Zertifikatsanforderung angestossen:

/System/Library/OpenSSL/misc/CA.pl -signreq

Using configuration from /opt/local/etc/openssl/openssl.cnf Enter pass phrase for ./demoCA/private/cakey.pem: Check that the request matches the signature Signature ok Certificate Details: Serial Number: b4:cd:0a:12:5b:00:5b:2b Validity Not Before: Aug 25 21:19:04 2009 GMT Not After : Aug 25 21:19:04 2010 GMT Subject: countryName = DE stateOrProvinceName = NRW localityName = Essen commonName = meineadresse.de emailAddress = dennis@instant-thinking.de X509v3 extensions: X509v3 Basic Constraints: CA:FALSE Netscape Comment: OpenSSL Generated Certificate X509v3 Subject Key Identifier: 08:F3:5C:D2:0D:96:3E:2F:53:DA:EF:9D:34:73:B2:16:77:83:94:E0 X509v3 Authority Key Identifier: keyid:01:54:22:97:39:C2:41:2D:17:48:41:6D:BB:A1:C7:F0:B3:88:B4:4F

1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated Signed certificate is in newcert.pem

Damit ist das Zertifikat newcert.pem erstellt. Jetzt ist es eine gute Idee ein weiteres Verzeichnis mit dem Namen des Servers zu erstellen und alle für ihn erstellten Dateien hinein zu bewegen.

mkdir meineadresse.de mv webserver.key webserver.nopass.key newreq.pem newcert.pem meineadresse.de/

Das ganze schaut dann etwa so aus:

certs/ |-- demoCA | |-- cacert.pem | |-- certs | |-- crl | |-- index.txt | |-- index.txt.attr | |-- index.txt.old | |-- newcerts | | -- B4CD0A125B005B2B.pem | |-- private | |-- cakey.pem | |-- serial | -- serial.old-- meineadresse.de |-- newcert.pem |-- newreq.pem |-- webserver.key `-- webserver.nopass.key

Anpassen der Apache-Configs

Als letztes wird der Apache-Server für verschlüsselte Verbindungen konfiguriert. Dazu wird zunächst in der Datei /etc/apache2/httpd.conf die Datei httpd-ssl.conf inkludiert in der dann die restlichen Einträge vorgenommen werden. Die passende Zeile ist bereits vorhanden³ und muss nur auskommentiert⁴ werden.

Das Ergebnis sollte so aussehen:

Include /private/etc/apache2/extra/httpd-ssl.conf

In der Datei /etc/apache2/extra/httpd-ssl.conf müssen nun die folgenden Variablen auf die vorhin erstellten Dateien inklusive dem vollen Pfad zeigen:

SSLCertificateFile "/Users/dennis/Documents/certs/meineadresse.de/newcert.pem" SSLCertificateKeyFile "/Users/dennis/Documents/certs/meineadresse.de/meineadresse.de.nopass.key" SSLCACertificateFile "/Users/dennis/Documents/certs/demoCA/cacert.pem" SSLCARevocationPath "/Users/dennis/Documents/certs/demoCA/crl"

Man kann hier auch das DocumentRoot auf einen anderen Pfad als die nicht verschlüsselten Inhalte setzen wenn man das möchte. Das kann dann z.B. so ausschauen:

DocumentRoot "/Users/dennis/Sites/SSL"

Jetzt kann man den Apache mit sudo apachectl graceful neu starten und sollte dann unter https://localhost⁵ eine verschlüsselte HTTP-Verbindung herstellen können.

Usernamen und Passwörter die oben noch im Klartext zu lesen waren sehen für potentielle Mitlauscher nun nur noch so aus:

Und das ist eine gute Sache.

Wenn man ein solches System produktiv einsetzen möchte, sollte man zu allermindestens die CA auf einen anderen Computer auslagern. Noch besser⁶ wäre es, sich sein Zertifikat von einer richtigen CA unterschreiben zu lassen. Dann müsste man auch nicht mehr mit der unvermeidlichen Fehlermeldung leben, dass das Zertifikat von einer unbekannten CA ausgestellt wurde…

Natürlich kann man für seinen Browser eine passende Ausnahme konfigurieren, für einen Produktivserver ist so etwas aber nicht hinnehmbar.

(via: Apple & macosxhints.com)

1. Und nein, mein Passwort ist üblicherweise nicht “test123″
2. gültig für 10 Jahre
3. in meiner Installation war es die Zeile 473
4. Also die Raute “#” vor der Zeile löschen
5. bzw. der jeweiligen Adresse
6. aber auch mit Kosten verbunden

• Data Deduplication im Backup/Recovery Umfeld –
• Virtualisierung von Storage Area Networks –
• pdftotext – dient der Konvertierung von PDFs in reinen Text, entstammt dem xpdf-Paket.
• Open Atrium – is an intranet in a box that has group spaces to allow different teams to have their own conversations. It comes with six features – a blog, a wiki, a calendar, a to do list, a shoutbox, and a dashboard to manage it all.
• hid.im – A Hidim turns a torrent into a regular PNG image. You save the png yourself. You can post it anywhere. People can decode it, but it can't be searched for… it won't turn up in searches for those torrents, unless you provide text that matches.
• How to Debug PHP Using Firefox with FirePHP – This article shares an elegant, simple, and more maintainable way of debugging Ajax apps via the web browser (more specifically for the Mozilla Firefox browser). You’ll learn the basics of leveraging Firefox in conjunction with Firebug and FirePHP to implement FirePHP libraries on web apps and logging messages in the Firebug console.

• Dynamikschwund in der Popmusik – Tage des Donners – Ob Oasis oder Red Hot Chili Peppers: Die Popmusik hat die Unterschiede zwischen laut und leise aufgegeben. Was bleibt, sind Aufnahmen an der Grenze zum Lärm.
• Going Green at Google –
• Data Center Efficiency Measurements –
• Packet Garden – captures information about how you use the internet and uses this stored information to grow a private world you can later explore.
• BuddyPress – will transform an installation of WordPress MU into a social network platform
• WinFF – is a GUI for the command line video converter, FFMPEG. It will convert most any video file that FFmpeg will convert.
• Using GnuPG with Pine for Secure E-Mail –
• Pine + GPG mini-howto –
• Achieving Email Bliss with IMAP, Gmail, and Apple Mail –
• Murky – is a GUI client app for the Mercurial distributed version-control system. It lets you manage repositories and source files without using a command-line.
• Cocoa Dev Central: Learn Objective-C –
• Snowtape – Recording of Internet radio stations for Mac OS X
• Dokan SSHFS – is a windows program that mounts remote file systems using SSH.
• McKinsey & Co. Report: Clearing the Air on Cloud Computing –
• Above the Clouds: A Berkeley View of Cloud Computing –
• Video Monkey – is a free video encoding application exclusively for Mac. It was created after the demise of the great tool Visual Hub.

• ZFS snapshot visualization in GNOME – TimeSlider, oh if Apple would support ZFS…
• The Television Writer's Guide to Cryptography –
• The Answer to the Ultimate Question of Life the Universe and Everything –
• Anonyme E-Mails schreiben – Dieses Webinterface bietet die Möglichkeiten, eine E-Mail über das Mixmaster Remailer Netzwerk anonym zu versenden, welches eine hohe Anonymität bietet. Die Nachricht wird über 5 zufällige Remailer rund die Welt geschickt. Es kann bis zu 12h dauern, ehe sie beim Empfänger eintrifft.
• Mac OsXP Folders – is a Quicklook Plugin for Mac OS 10.5. It's purpose is to display Windows XP style folders when images are found in the specific folder.

Wenn man weiss wie es geht, ist das auch recht einfach einzurichten…

Zunächst einmal die ID des eigenen Schlüssels rausfinden:

~ > gpg --list-keys

/Users/dennis/.gnupg/pubring.gpg -------------------------------- pub 1024D/8FC5AC3D 2004-06-29 uid Dennis Wegner dennis@instant-thinking.de sub 1024g/D9952208 2004-06-29

Die ID meines Schlüssels² ist also 8FC5AC3D.

Und dann einfach per

~ > gpg --edit-key YOUR_ID

In den interaktiven Modus von gpg wechseln und adduid eingeben. Dann wird man nach Name, Email-Adresse und einem (optionalen) Kommentar gefragt. Das ganze dann noch mit der gpg-Passphrase absegnen und schon ist die zweite Adresse in dem Key enthalten.

In der Praxis schaute das bei mir so aus:

~ > gpg --edit-key 8FC5AC3D gpg (GnuPG) 1.4.7; Copyright (C) 2006 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details.

pub 1024D/8FC5AC3D created: 2004-06-29 expires: niemals usage: SC
trust: unbekannt Gültigkeit: unbekannt sub 1024g/D9952208 created: 2004-06-29 expires: niemals usage: E
[ unknown] (1) Dennis Wegner dennis@instant-thinking.de [ unknown] (2). Dennis Wegner dennis.wegner@web.de

Und schon ist meine alte web.de Adresse³ auch in meinem Schlüssel. Für weitere Adressen den Vorgang wiederholen und glücklich verschlüsselte Mails versenden.

(via: The GNU Pivacy Handbook – Adding and deleting key components)

1. und ich muss den auch mal hier auf instant-thinking.de ein wenig prominenter platzieren…
2. die Ausgabe ist gekürzt, da werden alle Schlüssel aufgelistet die in eurem Schlüsselbund sind
3. die auch immer noch funktioniert, die leitet direkt an instant-thinking.de weiter

• Purre – Play iPhoto movies in FrontRow
• Wörterbücher – Kostenloser deutscher Thesaurus und ein Deutsch-Englisch Wörterbüch für das Mac OS Lexikon
• Step by Step: Configuring SSL Under Apache –
• Developing Rails Applications on Mac OS X Leopard –
• ExpanDrive – Seems like an extended Version of sshFS… Shareware, 29$.
• SING – stands for Send ICMP Nasty Garbage. It is a tool that sends ICMP packets fully customized from command line.
• Tunnelblick – is a simple graphical user interface for the great VPN software OpenVPN 2.0 and higher
• wicd – is an open source wired and wireless network manager for Linux which aims to provide a simple interface to connect to networks with a wide variety of settings
• Libra – Freeware Library Software for Windows
• If Version Control Systems were Airlines –
• SmartSleep – is a preference pane that dynamically sets the sleep state of your machine.
• gitnub – Git kicking it OS X style. Still many exciting nibbles to be implemented!
• Scrivener – is a word processor and project management tool created specifically for writers of long texts such as novels and research papers. Shareware, 39,95 $

• PlayVideoTS – opens the VIDEO_TS folder of ripped DVDs using the Apple DVD Player
• Changes – Diff on Speed. Mac OS X only Shareware, $39.95.
• Using autofs for GPG keys on a USB stick –
• MindNode – is a free and very easy to use mindmapping application
• ccollect – (pseudo) incremental backup with different exclude lists using hardlinks and rsync
• Yep – iPhoto like Software targeting PDFs.
• DiscRotate – is a Daemon and PreferencePane that will control the speed of your optical drives. It is written in Cocoa (Obj-C 2.0) for Mac OS X 10.5 Leopard.
• twill – is a simple language that allows users to browse the Web from a command-line interface. With twill, you can navigate through Web sites that use forms, cookies, and most standard Web features.