From 7808fd9f5981da45b883992a5b168104d7980d93 Mon Sep 17 00:00:00 2001
From: Mic92 <Mic92@wiki.c3d2.de/w>
Date: Sat, 19 Dec 2015 17:43:27 +0000
Subject: [PATCH] *Empty MediaWiki Message*

---
 TLS.mw | 70 ++++++++++++++++++++++++++++++----------------------------
 1 file changed, 36 insertions(+), 34 deletions(-)

diff --git a/TLS.mw b/TLS.mw
index bb4371bf..3799ddcd 100644
--- a/TLS.mw
+++ b/TLS.mw
@@ -1,42 +1,44 @@
 == Zertifikate ==
 
-Wer kann wo welche [[#Zertifikate]] erneuern?
+Wir benutzen für alle webbasierten Dienste [https://letsencrypt.org/ Letsencrypt].
+Die Zertifikate werden aktuell zentral auf [[wetu]] im web container generiert.
 
-{|
-! [[Domain]]
-! bei
-! durch
-|-
-| c3d2.de
-| [[#StartSSL]]
-| [[Benutzer:Astro|Astro]]
-|-
-| c3d2.de
-| [[#CAcert]]
-| a8
-|-
-| hq.c3d2.de
-| [[#CAcert]]
-| Leon
-|-
-| datenspuren.de
-| [[#StartSSL]]
-| [[Benutzer:Astro|Astro]]
-|-
-| pentamedia.org
-| [[#CAcert]]
-| [[Benutzer:Astro|Astro]]
-|-
-| codetu.be
-| [[#CACert]]
-| [[Benutzer:Astro|Astro]]
-|}
+Dafür werden alle ACME-Anfragen (.well-known/acme-challenge) auf Port 80 auf ein für
+letsencrypt schreibbares Verzeichnis umgeleitet. Alle anderen Anfragen werden auf
+HTTPS weitergeleitet.
 
-== CAcert ==
-→ ''Hauptartikel: [[CAcert]]
+  #/etc/apache2/sites-enabled/000-letsencrypt
+  <VirtualHost *:80>
+    ServerAlias *
+    RewriteEngine On
+    RewriteCond %{HTTPS} !=on
+    RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.*
+    RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L]
+    Alias "/.well-known/acme-challenge" "/var/www/letsencrypt/.well-known/acme-challenge"
+    <Directory "/var/www/letsencrypt/.well-known/acme-challenge">
+      Header set Content-Type "application/jose+json"
+    </Directory>
+  </VirtualHost>
 
-== [https://startssl.com/ StartSSL] ==
-Die StartSSL-Validierung läuft nach 30 Tagen wieder aus und kann damit durch andere genutzt werden.
+Die Zertifikate wurden folgendermaßen generiert:
+
+  letsencrypt certonly --renew-by-default --webroot --webroot-path /var/www/letsencrypt/ --text \
+    -d c3d2.de \
+    -d datenspuren.de \
+    -d git.c3d2.de \
+    -d media.c3d2.de \ 
+    -d offen.c3d2.de \
+    -d pentamedia.org \
+    -d pentapad.c3d2.de \
+    -d ratskarte.offenesdresden.de \
+    -d redmine.c3d2.de \
+    -d webmail.c3d2.de \
+    -d wiki.c3d2.de \
+    -d www.c3d2.de \
+    -d www.datenspuren.de \
+    -d www.pentamedia.org \
+    -d cccdd.de \
+    -d dresden.ccc.de
 
 == SSL-Test ==
 Interessant und informativ bezüglich des Konfigurationstests ist definitiv [https://www.ssllabs.com/ssltest/ diese Seite von Qualys].