TLS: Unterschied zwischen den Versionen

Aus C3D2
Zur Navigation springen Zur Suche springen
K (weiß ich auch nicht, seite zum prüfen von ssl-zertifikaten äääääääh hinzugefügt)
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
== Zertifikate ==
== Zertifikate ==


Wer kann wo welche [[#Zertifikate]] erneuern?
Wir benutzen für alle webbasierten Dienste [https://letsencrypt.org/ Letsencrypt].
Die Zertifikate werden aktuell zentral auf [[wetu]] im web container generiert.


{|
Dafür werden alle ACME-Anfragen (.well-known/acme-challenge) auf Port 80 auf ein für
! [[Domain]]
letsencrypt schreibbares Verzeichnis umgeleitet. Alle anderen Anfragen werden auf
! bei
HTTPS weitergeleitet.
! durch
|-
| c3d2.de
| [[#StartSSL]]
| [[Benutzer:Astro|Astro]]
|-
| c3d2.de
| [[#CAcert]]
| a8
|-
| hq.c3d2.de
| [[#CAcert]]
| Leon
|-
| datenspuren.de
| [[#StartSSL]]
| [[Benutzer:Astro|Astro]]
|-
| pentamedia.org
| [[#CAcert]]
| [[Benutzer:Astro|Astro]]
|-
| codetu.be
| [[#CACert]]
| [[Benutzer:Astro|Astro]]
|}


== CAcert ==
  #/etc/apache2/sites-enabled/000-letsencrypt
→ ''Hauptartikel: [[CAcert]]
  <VirtualHost *:80>
    ServerAlias *
    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.*
    RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L]
    Alias "/.well-known/acme-challenge" "/var/www/letsencrypt/.well-known/acme-challenge"
    <Directory "/var/www/letsencrypt/.well-known/acme-challenge">
      Header set Content-Type "application/jose+json"
    </Directory>
  </VirtualHost>


== [https://startssl.com/ StartSSL] ==
Die Zertifikate wurden folgendermaßen generiert:
Die StartSSL-Validierung läuft nach 30 Tagen wieder aus und kann damit durch andere genutzt werden.
 
  letsencrypt certonly --renew-by-default --webroot --webroot-path /var/www/letsencrypt/ --text \
    -d c3d2.de \
    -d datenspuren.de \
    -d git.c3d2.de \
    -d media.c3d2.de \
    -d offen.c3d2.de \
    -d pentamedia.org \
    -d pentapad.c3d2.de \
    -d ratskarte.offenesdresden.de \
    -d redmine.c3d2.de \
    -d webmail.c3d2.de \
    -d wiki.c3d2.de \
    -d www.c3d2.de \
    -d www.datenspuren.de \
    -d www.pentamedia.org \
    -d cccdd.de \
    -d dresden.ccc.de


== SSL-Test ==
== SSL-Test ==

Version vom 19. Dezember 2015, 17:43 Uhr

Zertifikate

Wir benutzen für alle webbasierten Dienste Letsencrypt. Die Zertifikate werden aktuell zentral auf wetu im web container generiert.

Dafür werden alle ACME-Anfragen (.well-known/acme-challenge) auf Port 80 auf ein für letsencrypt schreibbares Verzeichnis umgeleitet. Alle anderen Anfragen werden auf HTTPS weitergeleitet.

 #/etc/apache2/sites-enabled/000-letsencrypt
 <VirtualHost *:80>
   ServerAlias *
   RewriteEngine On
   RewriteCond %{HTTPS} !=on
   RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.*
   RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L]
   Alias "/.well-known/acme-challenge" "/var/www/letsencrypt/.well-known/acme-challenge"
   <Directory "/var/www/letsencrypt/.well-known/acme-challenge">
     Header set Content-Type "application/jose+json"
   </Directory>
 </VirtualHost>

Die Zertifikate wurden folgendermaßen generiert:

 letsencrypt certonly --renew-by-default --webroot --webroot-path /var/www/letsencrypt/ --text \
   -d c3d2.de \
   -d datenspuren.de \
   -d git.c3d2.de \
   -d media.c3d2.de \ 
   -d offen.c3d2.de \
   -d pentamedia.org \
   -d pentapad.c3d2.de \
   -d ratskarte.offenesdresden.de \
   -d redmine.c3d2.de \
   -d webmail.c3d2.de \
   -d wiki.c3d2.de \
   -d www.c3d2.de \
   -d www.datenspuren.de \
   -d www.pentamedia.org \
   -d cccdd.de \
   -d dresden.ccc.de

SSL-Test

Interessant und informativ bezüglich des Konfigurationstests ist definitiv diese Seite von Qualys.

Siehe auch