Jump to content
Froxlor Forum
  • 0

SSL einrichten


cisum

Question

Moin,

 

ich habe eine Frage zum Einrichten von SSL.

 

Mit Hilfe folgender Anleitung habe ich SSL f?r meinen Webroot (/var/web) eingerichtet bekommen: http://wiki.ubuntuusers.de/Apache/SSL

 

Allerdings scheitere ich jetzt bei der Konfiguration f?r Froxlor.+

Gerne w?rde ich bei einigen Froxlor-Kundenaccounts SSl verwenden.

 

Bei den SSL Einstellungen SSL nutzen aktiviert und den Pfad zum Zertifikat (/etc/apache2/ssl/apache.pem) eingetragen.

 

Wo finde ich die ben?tigte SSL Schl?sseldatei und was muss ich dann noch beachten?

 

Kann ich die Einstellungen bei Standardwerte zum Erstellen eines Zertifikats so lassen oder m?ssen die ge?ndert werden?

 

 

Vielen Dank im Vorraus f?r die Hilfe!

 

 

Gru?,

cisum

Link to comment
Share on other sites

14 answers to this question

Recommended Posts

Du h?ttest unter Froxlor unter den IPs und Ports ne neue IP hinzuf?gen m?ssen, dort kannst du dann unten die Zertifikate angeben. Die Konfiguration vom apachen ?bernimmt dann Froxlor bzw der Cronjob von Froxlor f?r dich. Du musst lediglich im vorhinein die Zertifikate generieren, den Pfad zu diesen gibst du dann unten an.

 

Falls das noch nicht tut mit a2emod ssl den ssl mod aktivieren.

 

von Hand in den Configs rumwurschteln empfiehlt sich nur bedingt, da dann Probleme in Kombi mit Froxlor auftreten k?nnen.

Link to comment
Share on other sites

Zertifikat hab ich: /etc/apache2/ssl/apache.pem

Aber wo bekomme ich die Scl?sseldatei her und ist SSL CA Zertifikat optional?

 

Edit:

Hat sich glaub ich erledigt.

Werd sp?ter mal schreiben ob alles funzt.

Link to comment
Share on other sites

hab auch so einige probleme mit ssl. ich erzeuge meinen ssl zertifikat so:

 

openssl genrsa -des3 -out name.key 2048
openssl req -new -key name.key -out name.csr
openssl rsa -in name.key -out name.key
openssl x509 -req -days 365 -in name.csr -signkey name.key -out name.crt
cat name.crt name.key > name.pem
chmod 644 *.crt
chmod 600 *.key
chmod 600 *.pem

 

mein problem; nach jedem cron-update der config muss ich den lighttpd in ssh per hand starten, da eine passworteingabe erforderlich ist und lighttpd gestopt wird. was mache ich falsch?

Link to comment
Share on other sites

Bei mir funktioniert es so:

 

1. In der Froxlor-Administration beim SSL-IPandPort folgendes einstellen:

Listen nein

NameVirtualHost ja

vHost-Container ja

ServerName ja

 

2. In der Froxlor-Datenbank in der Tabelle panel_ipsandports die id der SSL-IPandPort raussuchen.

 

3. In der Tabelle panel_domains im Datensatz der gew?nschten Subdomain "ssl"="1" und "ssl_ipandport"=die in Punkt 2 rausgesuchte ID einstellen.

 

4. Punkt 3 bei allen gew?nschten Subdomains wiederholen

 

5. In der Tabelle panel_tasks einen Datensatz mit "typ"="1" einf?gen.

 

Das Zertifikat und die Schl?sseldatei m?ssen in /etc/apache2/ liegen und apache.pem sowie apache.key hei?en, weil das automatisch eingestellt wird und man keinen Einflu? darauf hat.

 

 

Imanuel

Link to comment
Share on other sites

Bei mir funktioniert es so:

 

1. In der Froxlor-Administration beim SSL-IPandPort folgendes einstellen:

Listen nein

NameVirtualHost ja

vHost-Container ja

ServerName ja

 

2. In der Froxlor-Datenbank in der Tabelle panel_ipsandports die id der SSL-IPandPort raussuchen.

 

3. In der Tabelle panel_domains im Datensatz der gew?nschten Subdomain "ssl"="1" und "ssl_ipandport"=die in Punkt 2 rausgesuchte ID einstellen.

 

4. Punkt 3 bei allen gew?nschten Subdomains wiederholen

 

5. In der Tabelle panel_tasks einen Datensatz mit "typ"="1" einf?gen.

 

Das Zertifikat und die Schl?sseldatei m?ssen in /etc/apache2/ liegen und apache.pem sowie apache.key hei?en, weil das automatisch eingestellt wird und man keinen Einflu? darauf hat.

 

 

Imanuel

 

Danke, klappt wunderbar! :)

 

Ist dann aber ein Bug, dass es nicht ?ber Froxlor direkt geht nehme ich an?

Link to comment
Share on other sites

Doch, inzwischen wei? ich auch mehr.

SSL-IPandPort braucht keinen VHost, und die Pfade kann man im Froxlor-Admin unter Einstellungen, SSL-Einstellungen ?ndern.

Leider kann man dort zwar ein CA-Zertifikat einstellen, aber keine Chainfile - die habe ich dann im SSL-IPandPort im VHost stehen (in dem Fall braucht man dort dann nat?rlich doch einen VHost).

 

Den Rest mu? man allerdings trotzdem per Datenbank einstellen.

 

Heute werde ich noch versuchen, f?r verschiedene Subdomains verschiedene Zertifikate einzuladen.

Mal schauen ;-)

Link to comment
Share on other sites

Das ist so leider nicht m?glich, wie ich feststellen mu?te, weil Apache mit dem ersten SSL-VHost, der eingeladen wird, die Zertifikate l?dt und alle anderen nachher ignoriert.

Schade!

 

Oder hat vielleicht noch jemand einen Tip?

 

Viele Gr??e

Link to comment
Share on other sites

Hallo ich w?rde auch gerne SSL nutzen und habe mir bereits bei Start SSL gratis das Zertifikat f?r meine erste Domain erstellt. Die Cert Datei und Key Datei habe ich auf meinem Rechner.

 

Ich habe dabei an dieser Anleitung orientiert und dann die Dateien auf Debian Lenny wie folgt einsortiert

 

 

/etc/ssl/certs -> directhost.crt + sub.class1.server.ca.pem (Muss das nicht aif Debian auch .pem hei?en ?)

/etc/ssl/private --directhost.key

 

Das ganze soll mit der Domain fuktionieren die auch als Hostname hinterlegt ist. Zweck: phpmyadmin ?ber SSL Verschl?sselung aufrufen und nicht per IP/phpmyadmin

 

Domain www.direct-host.de

 

Was muss ich jetzt wo eintragen damit es funktioniert ?

 

post-252-028848400 1280511514_thumb.jpg

 

Vor allen Dingen hier, denn da sind ja andere Pfade eingetragen um sich wohl selbst ein Zertifikat zu erstellen das von Browsern erst angenommen werden muss ?

 

 

Muss ich einfach die 2 Pfade anpassen zu den beiden o.g Zertifikatsdateien ?

 

 

Die Domain selbst verwalte ich nicht mit dem Froxlor Interface da sie ja nicht direkt f?r Kunden gedacht ist, daher habe ich auch nur in den allgemeinen Einstellungen geschaut.

Muss ich bei der IP-Adresse noch etwas eintragen ?

 

 

 

2. Weitergehende Frage

 

Wie ist eigendlich das vorgehen wenn ich Kunden auch (?ber Start SSL) Domains zur Verf?gung stellen m?chte ? Brauche ich f?r jede SSL Domain eine eigene IP ? Was muss ich da einstellen (bei den IP, oder VHOST oder auch Domain Einstellungen ?

Link to comment
Share on other sites

Habe nun eine 2. IP bekommen ? Wo muss ich die nun ?berall hinterlegen. Reicht es im Froxlor oder muss ich bei Debian Lenny sonst noch wo was einstellen ?

 

Wie kann ich die URL die nicht von Froxlor verwaltet wird (also die System URL / Hostname) mittels einem Zertifkat sch?tzen, haben das wie o.g. bereits bei StartSSL geholt nur wei? ich nicht wie ich es einbinden soll.

 

 

edit: Habe nun die IP wie folgt eingerichtet, die Dateien unten sind vorhanden. Also die CRT, KEY und PEM Datei.

Das Riesen Problem ist bei diesen Einstellungen das der Apache 2 nicht bei einem Neustart startet. Dies geht erst wieder wenn ich die in folgender Fehlermeldung genannte Datei (das ist ja wohl die config Datei der IP leere und sie keinen Inhalt mehr hat) vorher startet der Apache einfach nicht. Rufe ich ?brigens die Domain auf bei der diese IP als SSL IP hinterlegt wurde bekomme ich bei https://.... nur die Meldung vom Firefox das die Seite nicht vorhanden ist.

 

 

direct-host:~# /etc/init.d/apache2 restart
Restarting web server: apache2We failed to correctly shutdown apache, so we're now killing all running apache processes. This is almost certainly suboptimal, so please make sure your system is working as you'd expect now! (warning).
... waiting Syntax error on line 9 of /etc/apache2/sites-enabled/10_froxlor_ipandport_178.63.145.52.443.conf:
Invalid command 'SSLEngine', perhaps misspelled or defined by a module not included in the server configuration
failed!
direct-host:~# /etc/init.d/apache2 restart
Restarting web server: apache2.

post-252-054189100 1280823472_thumb.png

Link to comment
Share on other sites

Das ist so leider nicht m?glich, wie ich feststellen mu?te, weil Apache mit dem ersten SSL-VHost, der eingeladen wird, die Zertifikate l?dt und alle anderen nachher ignoriert.

Schade!

 

Oder hat vielleicht noch jemand einen Tip?

 

Viele Gr??e

 

Da die Kommunikation zwischen Browser und Apache Webserver verschl?sselt wird, bevor der Browser seinen HTTP Request schickt, aus dem hervor geht um welche Domain es geht, kann der Webserver kein Domain spezifisches Zertifikat liefern. Der sicherste und meist teuerste Weg ist, jeder Domain die SSL Nutzen soll eine eigenen IP zu geben.

 

Ansonsten kann man SNI Nutzen, was aber nur von neueren Browsern unterst?tzt wird.

http://de.wikipedia.org/wiki/Server_Name_Indication

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...