83 lines
2.5 KiB
Plaintext
83 lines
2.5 KiB
Plaintext
== [[TSL]] ==
|
|
[https://wiki.c3d2.de/w/index.php?title=TSL&diff=22691&oldid=22665 let me troll that for you]
|
|
|
|
== Zertifikate ==
|
|
|
|
Wir benutzen für alle webbasierten Dienste [https://letsencrypt.org/ Letsencrypt].
|
|
Die Zertifikate werden aktuell zentral auf [[wetu]] im web container generiert.
|
|
|
|
Dafür werden alle ACME-Anfragen (.well-known/acme-challenge) auf Port 80 auf ein für
|
|
letsencrypt schreibbares Verzeichnis umgeleitet. Alle anderen Anfragen werden auf
|
|
HTTPS weitergeleitet.
|
|
|
|
#/etc/apache2/sites-enabled/000-letsencrypt
|
|
<VirtualHost *:80>
|
|
ServerAlias *
|
|
RewriteEngine On
|
|
RewriteCond %{HTTPS} !=on
|
|
RewriteCond %{REQUEST_URI} !^/.well-known/acme-challenge/.*
|
|
RewriteRule ^(.*) https://%{SERVER_NAME}$1 [R,L]
|
|
Alias "/.well-known/acme-challenge" "/var/www/letsencrypt/.well-known/acme-challenge"
|
|
<Directory "/var/www/letsencrypt/.well-known/acme-challenge">
|
|
Header set Content-Type "application/jose+json"
|
|
</Directory>
|
|
</VirtualHost>
|
|
|
|
Die Zertifikate wurden folgendermaßen generiert:
|
|
|
|
letsencrypt certonly --renew-by-default --webroot --webroot-path /var/www/letsencrypt/ --text \
|
|
-d c3d2.de \
|
|
-d datenspuren.de \
|
|
-d git.c3d2.de \
|
|
-d media.c3d2.de \
|
|
-d offen.c3d2.de \
|
|
-d pentamedia.org \
|
|
-d pentapad.c3d2.de \
|
|
-d ratskarte.offenesdresden.de \
|
|
-d redmine.c3d2.de \
|
|
-d webmail.c3d2.de \
|
|
-d wiki.c3d2.de \
|
|
-d www.c3d2.de \
|
|
-d www.datenspuren.de \
|
|
-d www.pentamedia.org \
|
|
-d cccdd.de \
|
|
-d dresden.ccc.de
|
|
|
|
Das Zertifikat werden automatisch am Anfang eines Monat erneuert:
|
|
|
|
# letsencrypt.timer
|
|
[Unit]
|
|
Description=Renew Let's Encrypt certificate monthly https://letsencrypt.readthedocs.org/en/latest/using.html#renewal
|
|
[Timer]
|
|
OnCalendar=monthly
|
|
Persistent=true
|
|
[Install]
|
|
WantedBy=multi-user.target
|
|
|
|
# letsencrypt.service
|
|
[Unit]
|
|
Description=Renew Let's Encrypt certificate monthly https://letsencrypt.readthedocs.org/en/latest/using.html#renewal
|
|
[Service]
|
|
Type=oneshot
|
|
ExecStart=/usr/bin/letsencrypt certonly \
|
|
--agree-tos \
|
|
--renew-by-default \
|
|
--webroot \
|
|
--webroot-path /var/www/letsencrypt/ \
|
|
--email joerg@higgsboson.tk \
|
|
--text \
|
|
-d c3d2.de \
|
|
#...
|
|
-d dresden.ccc.de
|
|
ExecStartPost=/bin/systemctl reload apache2
|
|
|
|
== SSL-Test ==
|
|
Interessant und informativ bezüglich des Konfigurationstests ist definitiv [https://www.ssllabs.com/ssltest/ diese Seite von Qualys].
|
|
|
|
== Siehe auch ==
|
|
* [[:Kategorie:TLS]]
|
|
|
|
[[Kategorie:Infrastruktur]]
|
|
[[Kategorie:C3D2-Web]]
|
|
[[Kategorie:TLS]]
|