2015-12-25 21:19:11 +01:00
|
|
|
== [[TSL]] ==
|
|
|
|
[https://wiki.c3d2.de/w/index.php?title=TSL&diff=22691&oldid=22665 let me troll that for you]
|
|
|
|
|
2013-05-13 01:49:54 +02:00
|
|
|
== Zertifikate ==
|
2013-05-12 00:03:10 +02:00
|
|
|
|
2015-12-19 18:43:27 +01:00
|
|
|
Wir benutzen für alle webbasierten Dienste [https://letsencrypt.org/ Letsencrypt].
|
|
|
|
Die Zertifikate werden aktuell zentral auf [[wetu]] im web container generiert.
|
|
|
|
|
|
|
|
Dafür werden alle ACME-Anfragen (.well-known/acme-challenge) auf Port 80 auf ein für
|
|
|
|
letsencrypt schreibbares Verzeichnis umgeleitet. Alle anderen Anfragen werden auf
|
|
|
|
HTTPS weitergeleitet.
|
|
|
|
|
|
|
|
#/etc/apache2/sites-enabled/000-letsencrypt
|
|
|
|
<VirtualHost *:80>
|
|
|
|
ServerAlias *
|
|
|
|
RewriteEngine On
|
|
|
|
RewriteCond %{HTTPS} !=on
|
|
|
|
RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.*
|
|
|
|
RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L]
|
|
|
|
Alias "/.well-known/acme-challenge" "/var/www/letsencrypt/.well-known/acme-challenge"
|
|
|
|
<Directory "/var/www/letsencrypt/.well-known/acme-challenge">
|
|
|
|
Header set Content-Type "application/jose+json"
|
|
|
|
</Directory>
|
|
|
|
</VirtualHost>
|
|
|
|
|
|
|
|
Die Zertifikate wurden folgendermaßen generiert:
|
|
|
|
|
|
|
|
letsencrypt certonly --renew-by-default --webroot --webroot-path /var/www/letsencrypt/ --text \
|
|
|
|
-d c3d2.de \
|
|
|
|
-d datenspuren.de \
|
|
|
|
-d git.c3d2.de \
|
|
|
|
-d media.c3d2.de \
|
|
|
|
-d offen.c3d2.de \
|
|
|
|
-d pentamedia.org \
|
|
|
|
-d pentapad.c3d2.de \
|
|
|
|
-d ratskarte.offenesdresden.de \
|
|
|
|
-d redmine.c3d2.de \
|
|
|
|
-d webmail.c3d2.de \
|
|
|
|
-d wiki.c3d2.de \
|
|
|
|
-d www.c3d2.de \
|
|
|
|
-d www.datenspuren.de \
|
|
|
|
-d www.pentamedia.org \
|
|
|
|
-d cccdd.de \
|
|
|
|
-d dresden.ccc.de
|
2014-01-09 16:42:56 +01:00
|
|
|
|
2015-12-19 19:28:30 +01:00
|
|
|
Das Zertifikat werden automatisch am Anfang eines Monat erneuert:
|
|
|
|
|
|
|
|
# letsencrypt.timer
|
|
|
|
[Unit]
|
|
|
|
Description=Renew Let's Encrypt certificate monthly https://letsencrypt.readthedocs.org/en/latest/using.html#renewal
|
|
|
|
[Timer]
|
|
|
|
OnCalendar=monthly
|
|
|
|
Persistent=true
|
|
|
|
[Install]
|
|
|
|
WantedBy=multi-user.target
|
|
|
|
|
|
|
|
# letsencrypt.service
|
|
|
|
[Unit]
|
|
|
|
Description=Renew Let's Encrypt certificate monthly https://letsencrypt.readthedocs.org/en/latest/using.html#renewal
|
|
|
|
[Service]
|
|
|
|
Type=oneshot
|
|
|
|
ExecStart=/usr/bin/letsencrypt certonly \
|
|
|
|
--agree-tos \
|
|
|
|
--renew-by-default \
|
|
|
|
--webroot \
|
|
|
|
--webroot-path /var/www/letsencrypt/ \
|
|
|
|
--email joerg@higgsboson.tk \
|
|
|
|
--text \
|
|
|
|
-d c3d2.de \
|
|
|
|
#...
|
|
|
|
-d dresden.ccc.de
|
2015-12-19 19:29:32 +01:00
|
|
|
ExecStartPost=/bin/systemctl reload apache2
|
2015-12-19 19:28:30 +01:00
|
|
|
|
2014-09-17 17:36:30 +02:00
|
|
|
== SSL-Test ==
|
|
|
|
Interessant und informativ bezüglich des Konfigurationstests ist definitiv [https://www.ssllabs.com/ssltest/ diese Seite von Qualys].
|
|
|
|
|
2014-03-25 04:01:23 +01:00
|
|
|
== Siehe auch ==
|
|
|
|
* [[:Kategorie:TLS]]
|
|
|
|
|
2013-05-13 02:04:45 +02:00
|
|
|
[[Kategorie:Infrastruktur]]
|
|
|
|
[[Kategorie:C3D2-Web]]
|
2014-03-25 03:59:20 +01:00
|
|
|
[[Kategorie:TLS]]
|