|
|
Zeile 17: |
Zeile 17: |
|
| |
|
| Quelle: https://pki.pca.dfn.de/htw-dresden-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2 | | Quelle: https://pki.pca.dfn.de/htw-dresden-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=2 |
|
| |
| == TLS ==
| |
|
| |
| Die Webservices des StuRa sind aktuell gar nicht, oder nicht ordentlich verschlüsselt erreichbar. Hierfür fehlt uns ein X509-Zertifikat, dass auch in den Browsern verankert ist um die Nutzerinnen nicht mit Warnungen zum Zertifikat abzuschrecken. (Die Ausnahme ist https://umfragen.stura.htw-dresden.de.)
| |
|
| |
| Möglich wäre das über [[StuRa HTW Dresden]] ([[Bereich Administration Rechentechnik]]) -> [[HTW Dresden]] ([[Rechenzentrum HTW Dresden]]) -> [[DFN]] -> Telekom. Leider wird zur Beantragung eine verantwortliche Person benötigt, die das Zertifikat dann auch verlängert. Der Leiter des [[RZ]] prüft beim [[DFN]], ob Körperschaften ggf. auch andere Antragswege offen stehen.
| |
|
| |
| Alternativ wäre es möglich dies mit [https://letsencrypt.org/ Let's Encrypt] zu lösen, die offene Beta beginnt im Dezember 2015.
| |
|
| |
| == Aktueller Stand ==
| |
|
| |
| * Nutzer misstrauen berechtigt Passworteingabe auf unverschlüsselten Seiten
| |
| * Datenkultur stimmt darüber ein, dass möglichst jede Kommunikation verschlüsselt werden soll
| |
| * PT hat Wolf gebeten das aufzunehmen
| |
| * RZ-Leiter wurde von Wolf und Norman angesprochen
| |
| * Warten auf Rückmeldung RZ
| |
|
| |
| == Zertifikate von Let'sEncrypt ==
| |
|
| |
| Aufgrund der schwierigen Implementierung der Zertifikate über das Rechnenzentrum wurde nun von Bommel auf Zertifikate von Let's Encrypt gesetzt.
| |
| Hier die Anleitung.
| |
| Alle Server/Seiten, welche nun dieses neue Zertifikat von Let's Encrypt besitzen haben einen automatische Aktivierung der Verschlüsselung(header redirect to ssl).
| |
|
| |
| === Anleitung ===
| |
|
| |
| : <code>pkg install -y letsencrypt.sh openssl</code>
| |
| : <code>cp /usr/local/openssl/openssl.cnf.sample /usr/local/openssl/openssl.cnf</code>
| |
|
| |
| : <code>pw groupadd -n _letsencrypt -g 443</code>
| |
| : <code>pw useradd -n _letsencrypt -u 443 -g 443 -d /usr/local/etc/letsencrypt.sh -w no -s /nonexistent</code>
| |
| : <code>chown root:_letsencrypt /usr/local/etc/letsencrypt.sh</code>
| |
| : <code>chmod 770 /usr/local/etc/letsencrypt.sh</code>
| |
| : <code>mkdir -p -m 775 /usr/local/www/.well-known/acme-challenge</code>
| |
| : <code>chgrp _letsencrypt /usr/local/www/.well-known/acme-challenge</code>
| |
| : <code>$EDITOR /usr/local/etc/apache24/httpd.conf</code>
| |
| <pre></pre>
| |
| <pre>
| |
| <Directory "/usr/local/www/.well-known/">
| |
| Options None
| |
| AllowOverride None
| |
| Require all granted
| |
| Header add Content-Type text/plain
| |
| </Directory>
| |
| Alias /.well-known/ /usr/local/www/.well-known/
| |
| </pre>
| |
| <pre></pre>
| |
| <pre>
| |
| <Directory "/">
| |
| </pre>
| |
| <pre></pre>
| |
| : <code>$EDITOR /usr/local/etc/letsencrypt.sh/domains.txt</code>
| |
| Es sind alle Hosts, getrennt durch ein Leerzeichen, eintragen.
| |
| Bei Zeiklenumbruuch wird ein weiteres zusätzliches Zretifikat erstellt.
| |
| : <code>$EDITOR /usr/local/etc/letsencrypt.sh/config.sh</code>
| |
| <pre>
| |
| BASEDIR="/usr/local/etc/letsencrypt.sh"
| |
| WELLKNOWN="/usr/local/www/.well-known/acme-challenge"
| |
| alias openssl='/usr/local/bin/openssl'
| |
| </pre>
| |
|
| |
| Für das automatisch Aktualisieren:
| |
| : <code>$EDITOR /etc/periodic.conf</code>
| |
| <pre>
| |
| weekly_letsencrypt_enable="YES"
| |
| weekly_letsencrypt_user="_letsencrypt"
| |
| weekly_letsencrypt_deployscript="/usr/local/etc/letsencrypt.sh/deploy.sh"
| |
| </pre>
| |
|
| |
| Neustarten vom Webserver (hier Apache 2.4)
| |
| : <code>service apache24 restart</code>
| |
|
| |
| Und Jetzt ausprobieren:
| |
| : <code>cd /usr/local/etc/letsencrypt.sh</code>
| |
| : <code>su -m _letsencrypt -c 'bash /usr/local/bin/letsencrypt.sh --cron'</code>
| |
| <pre>
| |
| # INFO: Using main config file /usr/local/etc/letsencrypt.sh/config.sh
| |
| Processing fsr-et.htwdd.de with alternative names: www.fsr-et.htwdd.de
| |
| + Signing domains...
| |
| + Generating private key...
| |
| + Generating signing request...
| |
| + Requesting challenge for fsr-et.htwdd.de...
| |
| + Requesting challenge for www.fsr-et.htwdd.de...
| |
| + Responding to challenge for fsr-et.htwdd.de...
| |
| + Challenge is valid!
| |
| + Responding to challenge for www.fsr-et.htwdd.de...
| |
| + Challenge is valid!
| |
| + Requesting certificate...
| |
| + Checking certificate...
| |
| + Done!
| |
| + Creating fullchain.pem...
| |
| + Done!
| |
| </pre>
| |
| Und freuen :D
| |
|
| |
| Nun alle Certs in die Konfiguration vom Webserver einbinden:
| |
| : Das kann in der zentralen Datei zur Konfiguration geschehen, aber auch an anderen (geeigneteren) Stellen.
| |
| : <code>$EDITOR /usr/local/etc/apache24/httpd.conf</code>
| |
| <pre></pre>
| |
| <pre>
| |
| SSLCertificateFile /usr/local/etc/letsencrypt.sh/certs/projekt.htw.stura-dresden.de/cert.pem
| |
| SSLCertificateKeyFile /usr/local/etc/letsencrypt.sh/certs/projekt.htw.stura-dresden.de/privkey.pem
| |
| SSLCertificateChainFile /usr/local/etc/letsencrypt.sh/certs/wiki.stura-dresden.de/chain.pem
| |
| </pre>
| |
| <pre></pre>
| |
| <!--
| |
| <pre>
| |
| </pre>
| |
| <pre></pre>
| |
| -->
| |
| Und damit nur SSL genommen wird:
| |
| : <code>$EDITOR /usr/local/etc/apache24/httpd.conf</code>
| |
| :: im Abschnitt für das ensprechende Directory
| |
| <pre></pre>
| |
| <pre>
| |
| RewriteEngine ON
| |
| RewriteCond %{HTTPS} off
| |
| RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
| |
| </pre>
| |
| <pre></pre>
| |
|
| |
|
| |
|
| |
| vim /usr/local/etc/apache24/Includes/ssl.conf
| |
| <VirtualHost *:443>
| |
| DocumentRoot "/usr/local/www/wordpress"
| |
| <Directory "/usr/local/www/wordpress">
| |
|
| |
| AllowOverride All
| |
| </Directory>
| |
|
| |
|
| |
| ServerName 141.56.50.30:443
| |
|
| |
| SSLEngine on
| |
|
| |
| SSLCertificateFile /usr/local/etc/letsencrypt.sh/certs/fsr-et.htwdd.de/cert.pem
| |
| SSLCertificateKeyFile /usr/local/etc/letsencrypt.sh/certs/fsr-et.htwdd.de/privkey.pem
| |
| SSLCertificateChainFile /usr/local/etc/letsencrypt.sh/certs/fsr-et.htwdd.de/chain.pem
| |
|
| |
|
| |
| </VirtualHost>
| |
|
| |
|
| |
| ggf Listen 443 in der httpd.conf nachtragen
| |
|
| |
|
| == Siehe auch == | | == Siehe auch == |
| * [[website:stura/ref/verwaltung/admin/zertifikate/]]
| |
| * [[DFN]] | | * [[DFN]] |
| * [[Server#Zertifikate]] | | * [[Server#Zertifikate]] |
| * [[TLS]] | | * [[TLS]] |
|
| |
|
| [[Kategorie:Projekt]]
| |
| [[Kategorie:Datenschutz]] | | [[Kategorie:Datenschutz]] |
| [[Kategorie:Datenkultur]] | | [[Kategorie:Datenkultur]] |