Bearbeiten von „Aufsetzen des Apache-Servers“
Warnung: Du bist nicht angemeldet. Deine IP-Adresse wird öffentlich sichtbar, falls du Bearbeitungen durchführst. Sofern du dich anmeldest oder ein Benutzerkonto erstellst, werden deine Bearbeitungen zusammen mit anderen Beiträgen deinem Benutzernamen zugeordnet.
Die Bearbeitung kann rückgängig gemacht werden.
Bitte prüfe den Vergleich unten, um sicherzustellen, dass du dies tun möchtest, und speichere dann unten deine Änderungen, um die Bearbeitung rückgängig zu machen.
Aktuelle Version | Dein Text | ||
Zeile 133: | Zeile 133: | ||
===Erzeugen des Schlüssels=== | ===Erzeugen des Schlüssels=== | ||
− | Mit diesen Daten wird auch eine | + | Mit diesen Daten wird auch eine Konfigratunsdatei mit Namen <tt>ssl.cnf</tt> befüllt, die die Schlüsselausgabe später vereinfacht. |
{{Shell |> cd ~/bin<br> mkdir keys<br> cd keys<br> kate ssl.cnf}} | {{Shell |> cd ~/bin<br> mkdir keys<br> cd keys<br> kate ssl.cnf}} | ||
Die Datei kann beispielsweise den folgenden Inhalt haben | Die Datei kann beispielsweise den folgenden Inhalt haben | ||
Zeile 144: | Zeile 144: | ||
# Verschlüsselungsmethode | # Verschlüsselungsmethode | ||
default_md = sha512 | default_md = sha512 | ||
− | # | + | # prevent key encryption |
encrypt_key = no | encrypt_key = no | ||
# Sektion für Zertifizierer-Informationen: | # Sektion für Zertifizierer-Informationen: | ||
distinguished_name = dn | distinguished_name = dn | ||
− | |||
# Zertifizierer-Informationen: | # Zertifizierer-Informationen: | ||
[dn] | [dn] | ||
Zeile 164: | Zeile 163: | ||
emailAddress=hermanns@iustus.eu | emailAddress=hermanns@iustus.eu | ||
# Primärer Servername | # Primärer Servername | ||
− | CN = <b>k1</b> | + | CN = <b>k1.local</b> |
− | |||
[v3_ca] | [v3_ca] | ||
keyUsage = digitalSignature, keyEncipherment | keyUsage = digitalSignature, keyEncipherment | ||
extendedKeyUsage = serverAuth | extendedKeyUsage = serverAuth | ||
subjectAltName = IP:<b>192.168.2.10</b>, DNS:<b>k1</b>, DNS:<b>k1.local</b> | subjectAltName = IP:<b>192.168.2.10</b>, DNS:<b>k1</b>, DNS:<b>k1.local</b> | ||
− | |||
− | |||
− | |||
− | |||
[alt_names] | [alt_names] | ||
# Primärer Server-Name | # Primärer Server-Name | ||
− | DNS.1 = <b>k1</b> | + | DNS.1=<b>k1</b> |
# Sekunärer Server-Name | # Sekunärer Server-Name | ||
− | DNS.2 = <b>k1.local</b> | + | DNS.2=<b>k1.local</b> |
# Wildcard Subdomains | # Wildcard Subdomains | ||
DNS.3 = *.<b>k1.local</b> | DNS.3 = *.<b>k1.local</b> | ||
− | Speichern Sie die so erstellte Datei <tt>ssl.cnf</tt> im <tt>bin</tt>-Verzeichnis ab. Mit folgendem Befehl erzeugen Sie nun als zertifizierter Aussteller die eigentlichen Schlüssel für die SSL-Verbindung | + | Speichern Sie die so erstellte Datei <tt>ssl.cnf</tt> im <tt>bin</tt>-Verzeichnis ab. Mit folgendem Befehl erzeugen Sie nun als zertifizierter Aussteller die eigentlichen Schlüssel für die SSL-Verbindung: |
− | |||
− | |||
− | |||
{{Shell |> openssl req -new -keyout ~/bin/keys/k1.key -out ~/bin/keys/k1.csr -config ~/bin/keys/ssl.cnf}} | {{Shell |> openssl req -new -keyout ~/bin/keys/k1.key -out ~/bin/keys/k1.csr -config ~/bin/keys/ssl.cnf}} | ||
− | |||
− | |||
− | + | {{Shell |> sudo openssl x509 -req \<br> -in ~/bin/keys/k1.csr \<br> -CA /etc/ssl/certs/rootCA.pem \<br> -CAkey /etc/ssl/private/rootCA.key \<br> -CAcreateserial \<br> -out ~/bin/keys/k1.crt \<br> -days 3653 \<br> -extfile ~/bin/keys/ssl.cnf \<br> -extensions v3_ca}} | |
− | {{Shell |> sudo | ||
=== Verbindung mit dem Server === | === Verbindung mit dem Server === | ||
Zeile 197: | Zeile 185: | ||
folgende Zeilen: | folgende Zeilen: | ||
<VirtualHost *:80> | <VirtualHost *:80> | ||
− | ServerName <b>k1</b> | + | ServerName <b>k1.local</b> |
− | ServerAlias <b>k1.local</b> | + | ServerAlias www.<b>k1.local</b> |
</VirtualHost> | </VirtualHost> | ||
− | |||
<IfModule mod_ssl.c> | <IfModule mod_ssl.c> | ||
<VirtualHost *:443> | <VirtualHost *:443> | ||
ServerAdmin webmaster@localhost | ServerAdmin webmaster@localhost | ||
DocumentRoot /home/BENUTZERNAME/lawsuit/ | DocumentRoot /home/BENUTZERNAME/lawsuit/ | ||
− | ServerName <b>k1</b> | + | ServerName <b>k1.local</b> |
− | ServerAlias <b>k1.local</b> | + | ServerAlias www.<b>k1.local</b> |
ErrorLog /var/log/apache2/error_log | ErrorLog /var/log/apache2/error_log | ||
SSLEngine on | SSLEngine on | ||
Zeile 214: | Zeile 201: | ||
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains" | Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains" | ||
</IfModule> | </IfModule> | ||
− | <FilesMatch "\.(cgi | + | <FilesMatch "\.(cgi|shtml|phtml|php)$"> |
SSLOptions +StdEnvVars | SSLOptions +StdEnvVars | ||
</FilesMatch> | </FilesMatch> | ||
− | <Directory / | + | <Directory /usr/lib/cgi-bin> |
SSLOptions +StdEnvVars | SSLOptions +StdEnvVars | ||
</Directory> | </Directory> | ||
</VirtualHost> | </VirtualHost> | ||
</IfModule> | </IfModule> | ||
− | |||
# configuration | # configuration | ||
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 | SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2 | ||
SSLHonorCipherOrder off | SSLHonorCipherOrder off | ||
SSLSessionTickets off | SSLSessionTickets off | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
Unter Firefox kann das selbstgezeichnete Zertifikat nun verwendet werden. Bitte beachten Sie, dass für jede Apache-Konfigurrationsdatei ein anderer Port geöffnet werden muss, "443" also nur einmal verwendet werden kann. Sie können alternativ z.B. "4443" verwenden. | Unter Firefox kann das selbstgezeichnete Zertifikat nun verwendet werden. Bitte beachten Sie, dass für jede Apache-Konfigurrationsdatei ein anderer Port geöffnet werden muss, "443" also nur einmal verwendet werden kann. Sie können alternativ z.B. "4443" verwenden. |