TLS: Unterschied zwischen den Versionen

Aus C3D2
Wechseln zu: Navigation, Suche
K (weiß ich auch nicht, seite zum prüfen von ssl-zertifikaten äääääääh hinzugefügt)
Zeile 1: Zeile 1:
 
== Zertifikate ==
 
== Zertifikate ==
  
Wer kann wo welche [[#Zertifikate]] erneuern?
+
Wir benutzen für alle webbasierten Dienste [https://letsencrypt.org/ Letsencrypt].
 +
Die Zertifikate werden aktuell zentral auf [[wetu]] im web container generiert.
  
{|
+
Dafür werden alle ACME-Anfragen (.well-known/acme-challenge) auf Port 80 auf ein für
! [[Domain]]
+
letsencrypt schreibbares Verzeichnis umgeleitet. Alle anderen Anfragen werden auf
! bei
+
HTTPS weitergeleitet.
! durch
 
|-
 
| c3d2.de
 
| [[#StartSSL]]
 
| [[Benutzer:Astro|Astro]]
 
|-
 
| c3d2.de
 
| [[#CAcert]]
 
| a8
 
|-
 
| hq.c3d2.de
 
| [[#CAcert]]
 
| Leon
 
|-
 
| datenspuren.de
 
| [[#StartSSL]]
 
| [[Benutzer:Astro|Astro]]
 
|-
 
| pentamedia.org
 
| [[#CAcert]]
 
| [[Benutzer:Astro|Astro]]
 
|-
 
| codetu.be
 
| [[#CACert]]
 
| [[Benutzer:Astro|Astro]]
 
|}
 
  
== CAcert ==
+
  #/etc/apache2/sites-enabled/000-letsencrypt
→ ''Hauptartikel: [[CAcert]]
+
  <VirtualHost *:80>
 +
    ServerAlias *
 +
    RewriteEngine On
 +
    RewriteCond %{HTTPS} !=on
 +
    RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.*
 +
    RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L]
 +
    Alias "/.well-known/acme-challenge" "/var/www/letsencrypt/.well-known/acme-challenge"
 +
    <Directory "/var/www/letsencrypt/.well-known/acme-challenge">
 +
      Header set Content-Type "application/jose+json"
 +
    </Directory>
 +
  </VirtualHost>
  
== [https://startssl.com/ StartSSL] ==
+
Die Zertifikate wurden folgendermaßen generiert:
Die StartSSL-Validierung läuft nach 30 Tagen wieder aus und kann damit durch andere genutzt werden.
+
 
 +
  letsencrypt certonly --renew-by-default --webroot --webroot-path /var/www/letsencrypt/ --text \
 +
    -d c3d2.de \
 +
    -d datenspuren.de \
 +
    -d git.c3d2.de \
 +
    -d media.c3d2.de \
 +
    -d offen.c3d2.de \
 +
    -d pentamedia.org \
 +
    -d pentapad.c3d2.de \
 +
    -d ratskarte.offenesdresden.de \
 +
    -d redmine.c3d2.de \
 +
    -d webmail.c3d2.de \
 +
    -d wiki.c3d2.de \
 +
    -d www.c3d2.de \
 +
    -d www.datenspuren.de \
 +
    -d www.pentamedia.org \
 +
    -d cccdd.de \
 +
    -d dresden.ccc.de
  
 
== SSL-Test ==
 
== SSL-Test ==

Version vom 19. Dezember 2015, 18:43 Uhr

Zertifikate

Wir benutzen für alle webbasierten Dienste Letsencrypt. Die Zertifikate werden aktuell zentral auf wetu im web container generiert.

Dafür werden alle ACME-Anfragen (.well-known/acme-challenge) auf Port 80 auf ein für letsencrypt schreibbares Verzeichnis umgeleitet. Alle anderen Anfragen werden auf HTTPS weitergeleitet.

 #/etc/apache2/sites-enabled/000-letsencrypt
 <VirtualHost *:80>
   ServerAlias *
   RewriteEngine On
   RewriteCond %{HTTPS} !=on
   RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.*
   RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L]
   Alias "/.well-known/acme-challenge" "/var/www/letsencrypt/.well-known/acme-challenge"
   <Directory "/var/www/letsencrypt/.well-known/acme-challenge">
     Header set Content-Type "application/jose+json"
   </Directory>
 </VirtualHost>

Die Zertifikate wurden folgendermaßen generiert:

 letsencrypt certonly --renew-by-default --webroot --webroot-path /var/www/letsencrypt/ --text \
   -d c3d2.de \
   -d datenspuren.de \
   -d git.c3d2.de \
   -d media.c3d2.de \ 
   -d offen.c3d2.de \
   -d pentamedia.org \
   -d pentapad.c3d2.de \
   -d ratskarte.offenesdresden.de \
   -d redmine.c3d2.de \
   -d webmail.c3d2.de \
   -d wiki.c3d2.de \
   -d www.c3d2.de \
   -d www.datenspuren.de \
   -d www.pentamedia.org \
   -d cccdd.de \
   -d dresden.ccc.de

SSL-Test

Interessant und informativ bezüglich des Konfigurationstests ist definitiv diese Seite von Qualys.

Siehe auch