TLS
Zertifikate
Wir benutzen für alle webbasierten Dienste Letsencrypt. Die Zertifikate werden aktuell zentral auf wetu im web container generiert.
Dafür werden alle ACME-Anfragen (.well-known/acme-challenge) auf Port 80 auf ein für letsencrypt schreibbares Verzeichnis umgeleitet. Alle anderen Anfragen werden auf HTTPS weitergeleitet.
#/etc/apache2/sites-enabled/000-letsencrypt
<VirtualHost *:80>
ServerAlias *
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.*
RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L]
Alias "/.well-known/acme-challenge" "/var/www/letsencrypt/.well-known/acme-challenge"
<Directory "/var/www/letsencrypt/.well-known/acme-challenge">
Header set Content-Type "application/jose+json"
</Directory>
</VirtualHost>
Die Zertifikate wurden folgendermaßen generiert:
letsencrypt certonly --renew-by-default --webroot --webroot-path /var/www/letsencrypt/ --text \ -d c3d2.de \ -d datenspuren.de \ -d git.c3d2.de \ -d media.c3d2.de \ -d offen.c3d2.de \ -d pentamedia.org \ -d pentapad.c3d2.de \ -d ratskarte.offenesdresden.de \ -d redmine.c3d2.de \ -d webmail.c3d2.de \ -d wiki.c3d2.de \ -d www.c3d2.de \ -d www.datenspuren.de \ -d www.pentamedia.org \ -d cccdd.de \ -d dresden.ccc.de
SSL-Test
Interessant und informativ bezüglich des Konfigurationstests ist definitiv diese Seite von Qualys.