Bearbeiten von „Server/Transport Layer Security“
Zur Navigation springen
Zur Suche springen
Die Bearbeitung kann rückgängig gemacht werden. Bitte prüfe den Vergleich unten, um sicherzustellen, dass du dies tun möchtest, und veröffentliche dann unten deine Änderungen, um die Bearbeitung rückgängig zu machen.
Aktuelle Version | Dein Text | ||
Zeile 1: | Zeile 1: | ||
Die [[Server/Anwendung]]en (beim [[StuRa]]) sind seit 2016 einigermaßen ordentlich verschlüsselt verfügbar. | Die [[Server/Anwendung]]en (beim [[StuRa]]) sind seit 2016 einigermaßen ordentlich verschlüsselt verfügbar. | ||
== Geschichte == | == Geschichte == | ||
Sehr lange - bis 2016 - waren die Webservices gar nicht, oder nicht ordentlich verschlüsselt erreichbar. | Sehr lange -bis 2016 - waren die Webservices gar nicht, oder nicht ordentlich verschlüsselt erreichbar. | ||
Es fehlte dem StuRa ein X509-Zertifikat, dass auch in den Browsern verankert ist, um die Nutzerinnen nicht mit Warnungen zum Zertifikat abzuschrecken. Die Ausnahme war https://umfragen.stura.htw-dresden.de ( | Es fehlte dem StuRa ein X509-Zertifikat, dass auch in den Browsern verankert ist, um die Nutzerinnen nicht mit Warnungen zum Zertifikat abzuschrecken. Die Ausnahme war https://umfragen.stura.htw-dresden.de (Server/Umfragen). | ||
; 2015: | ; 2015: | ||
* PT hat Wolf gebeten das aufzunehmen | * PT hat Wolf gebeten das aufzunehmen | ||
* Leiter | * RZ-Leiter wurde von Wolf und Norman angesprochen | ||
* Warten auf Rückmeldung | * Warten auf Rückmeldung RZ | ||
; 2016: | ; 2016: | ||
* [[user:Bommix]] rockt! | * [[user:Bommix]] rockt! | ||
* Das Zertifikat für [https://umfragen.stura.htw-dresden.de umfragen.stura.htw-dresden.de] | * Das Zertifikat für [https://umfragen.stura.htw-dresden.de umfragen.stura.htw-dresden.de] läuft 2016-04 aus. | ||
== Quellen für taugliche Zertifikate == | == Quellen für taugliche Zertifikate == | ||
Zeile 40: | Zeile 35: | ||
== Let's Encrypt == | == Let's Encrypt == | ||
Aufgrund der schwierigen Implementierung der Zertifikate über das Rechnenzentrum wurde 2016-04 von Bommel auf Zertifikate von Let's Encrypt gesetzt. | Aufgrund der schwierigen Implementierung der Zertifikate über das Rechnenzentrum wurde 2016-04 von Bommel auf Zertifikate von Let's Encrypt gesetzt. | ||
Hier die Anleitung. | |||
Alle Server/Seiten, welche nun dieses neue Zertifikat von Let's Encrypt besitzen haben einen automatische Aktivierung der Verschlüsselung(header redirect to ssl). | |||
Alle | |||
==== Installation für Let's Encrypt bei [[FreeBSD]] ==== | ==== Installation für Let's Encrypt bei [[FreeBSD]] ==== | ||
: [[i.V.m.]] Apache als | : [[i.V.m.]] Apache als Webbrowser | ||
<!-- | <!-- | ||
---- | ---- | ||
Zeile 64: | Zeile 50: | ||
: <code>pkg install -y letsencrypt.sh openssl</code> | : <code>pkg install -y letsencrypt.sh openssl</code> | ||
<pre></pre> | <pre></pre> | ||
<pre> | <pre> | ||
Zeile 109: | Zeile 93: | ||
: <code>chgrp _letsencrypt /usr/local/www/.well-known/acme-challenge</code> | : <code>chgrp _letsencrypt /usr/local/www/.well-known/acme-challenge</code> | ||
: <code>$EDITOR /usr/local/etc/apache24/httpd.conf</code> | : <code>$EDITOR /usr/local/etc/apache24/httpd.conf</code> | ||
<pre></pre> | <pre></pre> | ||
Zeile 145: | Zeile 109: | ||
</pre> | </pre> | ||
<pre></pre> | <pre></pre> | ||
: <code>$EDITOR /usr/local/etc/letsencrypt.sh/domains.txt</code> | |||
Es sind alle Hosts, getrennt durch ein Leerzeichen, eintragen. | |||
Bei Zeiklenumbruuch wird ein weiteres zusätzliches Zretifikat erstellt. | |||
: <code>$EDITOR /usr/local/etc/letsencrypt.sh/config.sh</code> | |||
<pre> | |||
BASEDIR="/usr/local/etc/letsencrypt.sh" | |||
WELLKNOWN="/usr/local/www/.well-known/acme-challenge" | |||
alias openssl='/usr/local/bin/openssl' | |||
</pre> | |||
Für das automatisch Aktualisieren: | |||
: <code>$EDITOR /etc/periodic.conf</code> | |||
<pre> | |||
weekly_letsencrypt_enable="YES" | |||
weekly_letsencrypt_user="_letsencrypt" | |||
weekly_letsencrypt_deployscript="/usr/local/etc/letsencrypt.sh/deploy.sh" | |||
</pre> | |||
Neustarten vom Webserver (hier Apache 2.4) | Neustarten vom Webserver (hier Apache 2.4) | ||
Zeile 172: | Zeile 153: | ||
Und freuen :D | Und freuen :D | ||
Nun alle | Nun alle Certs in die Konfiguration vom Webserver einbinden: | ||
: Das kann in der zentralen Datei zur Konfiguration geschehen, aber auch an anderen (geeigneteren) Stellen. | : Das kann in der zentralen Datei zur Konfiguration geschehen, aber auch an anderen (geeigneteren) Stellen. | ||
: <code>$EDITOR /usr/local/etc/apache24/httpd.conf</code> | : <code>$EDITOR /usr/local/etc/apache24/httpd.conf</code> | ||
Zeile 226: | Zeile 207: | ||
* [https://letsencrypt.readthedocs.io/en/latest/using.html#operating-system-packages letsencrypt.readthedocs.io/en/latest/using.html#operating-system-packages] | * [https://letsencrypt.readthedocs.io/en/latest/using.html#operating-system-packages letsencrypt.readthedocs.io/en/latest/using.html#operating-system-packages] | ||
* [https://letsencrypt.readthedocs.io/en/latest/using.html#plugins letsencrypt.readthedocs.io/en/latest/using.html#plugins] | * [https://letsencrypt.readthedocs.io/en/latest/using.html#plugins letsencrypt.readthedocs.io/en/latest/using.html#plugins] | ||
== Vorschläge für die beste Lösung == | == Vorschläge für die beste Lösung == | ||
Zeile 297: | Zeile 217: | ||
== Siehe auch == | == Siehe auch == | ||
* [[Server/Zertifikate]] | * [[Server/Zertifikate]] | ||
* [[website:stura/ref/verwaltung/admin/zertifikate/]] | * [[website:stura/ref/verwaltung/admin/zertifikate/]] | ||