TLS: Unterschied zwischen den Versionen

Aus C3D2
Zur Navigation springen Zur Suche springen
(→‎Zertifikate: Initial release)
 
KKeine Bearbeitungszusammenfassung
(13 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
= Zertifikate =
== [[TSL]] ==
[https://wiki.c3d2.de/w/index.php?title=TSL&diff=22691&oldid=22665 let me troll that for you]


Wer kann wo welche erneuern?
== Zertifikate ==


* c3d2.de bei StartSSL durch Astro
Wir benutzen für alle webbasierten Dienste [https://letsencrypt.org/ Letsencrypt].
* c3d2.de bei CACert durch a8
Die Zertifikate werden aktuell zentral auf [[wetu]] im web container generiert.
* hq.c3d2.de bei CACert durch Leon
 
* datenspuren.de bei StartSSL durch Astro
Dafür werden alle ACME-Anfragen (.well-known/acme-challenge) auf Port 80 auf ein für
* pentamedia.org bei CACert durch Astro
letsencrypt schreibbares Verzeichnis umgeleitet. Alle anderen Anfragen werden auf
HTTPS weitergeleitet.
 
  #/etc/apache2/sites-enabled/000-letsencrypt
  <VirtualHost *:80>
    ServerAlias *
    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.*
    RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L]
    Alias "/.well-known/acme-challenge" "/var/www/letsencrypt/.well-known/acme-challenge"
    <Directory "/var/www/letsencrypt/.well-known/acme-challenge">
      Header set Content-Type "application/jose+json"
    </Directory>
  </VirtualHost>
 
Die Zertifikate wurden folgendermaßen generiert:
 
  letsencrypt certonly --renew-by-default --webroot --webroot-path /var/www/letsencrypt/ --text \
    -d c3d2.de \
    -d datenspuren.de \
    -d git.c3d2.de \
    -d media.c3d2.de \
    -d offen.c3d2.de \
    -d pentamedia.org \
    -d pentapad.c3d2.de \
    -d ratskarte.offenesdresden.de \
    -d redmine.c3d2.de \
    -d webmail.c3d2.de \
    -d wiki.c3d2.de \
    -d www.c3d2.de \
    -d www.datenspuren.de \
    -d www.pentamedia.org \
    -d cccdd.de \
    -d dresden.ccc.de
 
Das Zertifikat werden automatisch am Anfang eines Monat erneuert:
 
  # letsencrypt.timer
  [Unit]
  Description=Renew Let's Encrypt certificate monthly https://letsencrypt.readthedocs.org/en/latest/using.html#renewal
  [Timer]
  OnCalendar=monthly
  Persistent=true
  [Install]
  WantedBy=multi-user.target
 
  # letsencrypt.service
  [Unit]
  Description=Renew Let's Encrypt certificate monthly https://letsencrypt.readthedocs.org/en/latest/using.html#renewal
  [Service]
  Type=oneshot
  ExecStart=/usr/bin/letsencrypt certonly \
          --agree-tos \
          --renew-by-default \
          --webroot \
          --webroot-path /var/www/letsencrypt/ \
          --email joerg@higgsboson.tk \
          --text \
          -d c3d2.de \
          #...
          -d dresden.ccc.de
  ExecStartPost=/bin/systemctl reload apache2
 
== SSL-Test ==
Interessant und informativ bezüglich des Konfigurationstests ist definitiv [https://www.ssllabs.com/ssltest/ diese Seite von Qualys].
 
== Siehe auch ==
* [[:Kategorie:TLS]]
 
[[Kategorie:Infrastruktur]]
[[Kategorie:C3D2-Web]]
[[Kategorie:TLS]]

Version vom 25. Dezember 2015, 20:19 Uhr

TSL

let me troll that for you

Zertifikate

Wir benutzen für alle webbasierten Dienste Letsencrypt. Die Zertifikate werden aktuell zentral auf wetu im web container generiert.

Dafür werden alle ACME-Anfragen (.well-known/acme-challenge) auf Port 80 auf ein für letsencrypt schreibbares Verzeichnis umgeleitet. Alle anderen Anfragen werden auf HTTPS weitergeleitet.

 #/etc/apache2/sites-enabled/000-letsencrypt
 <VirtualHost *:80>
   ServerAlias *
   RewriteEngine On
   RewriteCond %{HTTPS} !=on
   RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.*
   RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L]
   Alias "/.well-known/acme-challenge" "/var/www/letsencrypt/.well-known/acme-challenge"
   <Directory "/var/www/letsencrypt/.well-known/acme-challenge">
     Header set Content-Type "application/jose+json"
   </Directory>
 </VirtualHost>

Die Zertifikate wurden folgendermaßen generiert:

 letsencrypt certonly --renew-by-default --webroot --webroot-path /var/www/letsencrypt/ --text \
   -d c3d2.de \
   -d datenspuren.de \
   -d git.c3d2.de \
   -d media.c3d2.de \ 
   -d offen.c3d2.de \
   -d pentamedia.org \
   -d pentapad.c3d2.de \
   -d ratskarte.offenesdresden.de \
   -d redmine.c3d2.de \
   -d webmail.c3d2.de \
   -d wiki.c3d2.de \
   -d www.c3d2.de \
   -d www.datenspuren.de \
   -d www.pentamedia.org \
   -d cccdd.de \
   -d dresden.ccc.de

Das Zertifikat werden automatisch am Anfang eines Monat erneuert:

 # letsencrypt.timer
 [Unit]
 Description=Renew Let's Encrypt certificate monthly https://letsencrypt.readthedocs.org/en/latest/using.html#renewal
 [Timer]
 OnCalendar=monthly
 Persistent=true
 [Install]
 WantedBy=multi-user.target
 # letsencrypt.service
 [Unit]
 Description=Renew Let's Encrypt certificate monthly https://letsencrypt.readthedocs.org/en/latest/using.html#renewal
 [Service]
 Type=oneshot
 ExecStart=/usr/bin/letsencrypt certonly \
         --agree-tos \
         --renew-by-default \
         --webroot \
         --webroot-path /var/www/letsencrypt/ \
         --email joerg@higgsboson.tk \
         --text \
         -d c3d2.de \
         #...
         -d dresden.ccc.de
  ExecStartPost=/bin/systemctl reload apache2

SSL-Test

Interessant und informativ bezüglich des Konfigurationstests ist definitiv diese Seite von Qualys.

Siehe auch