Bearbeiten von „Zertifikate“
Zur Navigation springen
Zur Suche springen
Die Bearbeitung kann rückgängig gemacht werden. Bitte prüfe den Vergleich unten, um sicherzustellen, dass du dies tun möchtest, und veröffentliche dann unten deine Änderungen, um die Bearbeitung rückgängig zu machen.
Aktuelle Version | Dein Text | ||
Zeile 17: | Zeile 17: | ||
Quelle: https://pki.pca.dfn.de/htw-dresden-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2 | Quelle: https://pki.pca.dfn.de/htw-dresden-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2 | ||
== TLS == | |||
Die Webservices des StuRa sind aktuell gar nicht, oder nicht ordentlich verschlüsselt erreichbar. Hierfür fehlt uns ein X509-Zertifikat, dass auch in den Browsern verankert ist um die Nutzerinnen nicht mit Warnungen zum Zertifikat abzuschrecken. (Die Ausnahme ist https://umfragen.stura.htw-dresden.de.) | |||
Möglich wäre das über [[StuRa HTW Dresden]] ([[Bereich Administration Rechentechnik]]) -> [[HTW Dresden]] ([[Rechenzentrum HTW Dresden]]) -> [[DFN]] -> Telekom. Leider wird zur Beantragung eine verantwortliche Person benötigt, die das Zertifikat dann auch verlängert. Der Leiter des [[RZ]] prüft beim [[DFN]], ob Körperschaften ggf. auch andere Antragswege offen stehen. | |||
Alternativ wäre es möglich dies mit [https://letsencrypt.org/ Let's Encrypt] zu lösen, die offene Beta beginnt im Dezember 2015. | |||
== Aktueller Stand == | |||
* Nutzer misstrauen berechtigt Passworteingabe auf unverschlüsselten Seiten | |||
* Datenkultur stimmt darüber ein, dass möglichst jede Kommunikation verschlüsselt werden soll | |||
* PT hat Wolf gebeten das aufzunehmen | |||
* RZ-Leiter wurde von Wolf und Norman angesprochen | |||
* Warten auf Rückmeldung RZ | |||
== Zertifikate von Let'sEncrypt == | |||
Aufgrund der schwierigen Implementierung der Zertifikate über das Rechnenzentrum wurde nun von Bommel auf Zertifikate von Let's Encrypt gesetzt. | |||
Hier die Anleitung. | |||
Alle Server/Seiten, welche nun dieses neue Zertifikat von Let's Encrypt besitzen haben einen automatische Aktivierung der Verschlüsselung(header redirect to ssl). | |||
=== Anleitung === | |||
: <code>pkg install -y letsencrypt.sh openssl</code> | |||
: <code>cp /usr/local/openssl/openssl.cnf.sample /usr/local/openssl/openssl.cnf</code> | |||
: <code>pw groupadd -n _letsencrypt -g 443</code> | |||
: <code>pw useradd -n _letsencrypt -u 443 -g 443 -d /usr/local/etc/letsencrypt.sh -w no -s /nonexistent</code> | |||
: <code>chown root:_letsencrypt /usr/local/etc/letsencrypt.sh</code> | |||
: <code>chmod 770 /usr/local/etc/letsencrypt.sh</code> | |||
: <code>mkdir -p -m 775 /usr/local/www/.well-known/acme-challenge</code> | |||
: <code>chgrp _letsencrypt /usr/local/www/.well-known/acme-challenge</code> | |||
: <code>$EDITOR /usr/local/etc/apache24/httpd.conf</code> | |||
<pre></pre> | |||
<pre> | |||
<Directory "/usr/local/www/.well-known/"> | |||
Options None | |||
AllowOverride None | |||
Require all granted | |||
Header add Content-Type text/plain | |||
</Directory> | |||
Alias /.well-known/ /usr/local/www/.well-known/ | |||
</pre> | |||
<pre></pre> | |||
<pre> | |||
<Directory "/"> | |||
</pre> | |||
<pre></pre> | |||
: <code>$EDITOR /usr/local/etc/letsencrypt.sh/domains.txt</code> | |||
Es sind alle Hosts, getrennt durch ein Leerzeichen, eintragen. | |||
Bei Zeiklenumbruuch wird ein weiteres zusätzliches Zretifikat erstellt. | |||
: <code>$EDITOR /usr/local/etc/letsencrypt.sh/config.sh</code> | |||
<pre> | |||
BASEDIR="/usr/local/etc/letsencrypt.sh" | |||
WELLKNOWN="/usr/local/www/.well-known/acme-challenge" | |||
alias openssl='/usr/local/bin/openssl' | |||
</pre> | |||
Für das automatisch Aktualisieren: | |||
: <code>$EDITOR /etc/periodic.conf</code> | |||
<pre> | |||
weekly_letsencrypt_enable="YES" | |||
weekly_letsencrypt_user="_letsencrypt" | |||
weekly_letsencrypt_deployscript="/usr/local/etc/letsencrypt.sh/deploy.sh" | |||
</pre> | |||
Neustarten vom Webserver (hier Apache 2.4) | |||
: <code>service apache24 restart</code> | |||
Und Jetzt ausprobieren: | |||
: <code>cd /usr/local/etc/letsencrypt.sh</code> | |||
: <code>su -m _letsencrypt -c 'bash /usr/local/bin/letsencrypt.sh --cron'</code> | |||
<pre> | |||
# INFO: Using main config file /usr/local/etc/letsencrypt.sh/config.sh | |||
Processing fsr-et.htwdd.de with alternative names: www.fsr-et.htwdd.de | |||
+ Signing domains... | |||
+ Generating private key... | |||
+ Generating signing request... | |||
+ Requesting challenge for fsr-et.htwdd.de... | |||
+ Requesting challenge for www.fsr-et.htwdd.de... | |||
+ Responding to challenge for fsr-et.htwdd.de... | |||
+ Challenge is valid! | |||
+ Responding to challenge for www.fsr-et.htwdd.de... | |||
+ Challenge is valid! | |||
+ Requesting certificate... | |||
+ Checking certificate... | |||
+ Done! | |||
+ Creating fullchain.pem... | |||
+ Done! | |||
</pre> | |||
Und freuen :D | |||
Nun alle Certs in die Konfiguration vom Webserver einbinden: | |||
: Das kann in der zentralen Datei zur Konfiguration geschehen, aber auch an anderen (geeigneteren) Stellen. | |||
: <code>$EDITOR /usr/local/etc/apache24/httpd.conf</code> | |||
<pre></pre> | |||
<pre> | |||
SSLCertificateFile /usr/local/etc/letsencrypt.sh/certs/projekt.htw.stura-dresden.de/cert.pem | |||
SSLCertificateKeyFile /usr/local/etc/letsencrypt.sh/certs/projekt.htw.stura-dresden.de/privkey.pem | |||
SSLCertificateChainFile /usr/local/etc/letsencrypt.sh/certs/wiki.stura-dresden.de/chain.pem | |||
</pre> | |||
<pre></pre> | |||
<!-- | |||
<pre> | |||
</pre> | |||
<pre></pre> | |||
--> | |||
Und damit nur SSL genommen wird: | |||
In den Bereich wo der Directory angegeben wird kommt rein: | |||
RewriteCond %{HTTPS} off | |||
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] | |||
nach RewriteEngine ON | |||
== Siehe auch == | == Siehe auch == | ||
* [[website:stura/ref/verwaltung/admin/zertifikate/]] | |||
* [[DFN]] | * [[DFN]] | ||
* [[Server#Zertifikate]] | * [[Server#Zertifikate]] | ||
* [[ | * [[TLS]] | ||
[[Kategorie:Projekt]] | |||
[[Kategorie:Datenschutz]] | [[Kategorie:Datenschutz]] | ||
[[Kategorie:Datenkultur]] | [[Kategorie:Datenkultur]] |