Apache2 TLS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=== Netzkonfiguration WWW-Server (DMZ) === {| class="wikitable" style="background-color: #f2f2f2;" ! Parameter !! Wert !! Erläuterung |- | '''Netzwerk (NIC)'…“) |
|||
| (26 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 12: | Zeile 12: | ||
| '''GW''' || 10.88.2XX.1 || GATEWAY | | '''GW''' || 10.88.2XX.1 || GATEWAY | ||
|- | |- | ||
| − | | '''NS''' || | + | | '''NS''' || 10.88.2XX.21 || Resolver |
|- | |- | ||
| '''FQDN''' || www.it2XX.int || Fully Qualified Domain Name | | '''FQDN''' || www.it2XX.int || Fully Qualified Domain Name | ||
| Zeile 23: | Zeile 23: | ||
*[[Anpassen des Debian Templates]] | *[[Anpassen des Debian Templates]] | ||
oder | oder | ||
| − | *debian-setup.sh -f www.it2XX.int -a 10.88.2XX.11/24 -g 10.88.2XX.1 -n | + | *debian-setup.sh -f www.it2XX.int -a 10.88.2XX.11/24 -g 10.88.2XX.1 -n 10.88.2XX.21 |
| + | |||
| + | =Einfügen in die ~/.ssh/config= | ||
| + | ;als kit user | ||
| + | |||
| + | ;Auf dem Host über den ProxyJump eintragen | ||
| + | |||
| + | =Auf der Maschine= | ||
| + | ;Installation von apache2 | ||
| + | *sudo apt install -y apache2 | ||
| + | ;Aktiveren von ssl | ||
| + | *sudo a2enmod ssl rewrite | ||
| + | *sudo systemctl restart apache2 | ||
| + | =Von der Zertifizierungstelle zum Ziel kopieren= | ||
| + | *FQDN=www.it2XX.int | ||
| + | *scp $FQDN-fullchain.pem $FQDN.key kit@$FQDN: | ||
| + | |||
| + | =Zertifikate= | ||
| + | ;Voraussetzung Zertifikat und Privkey sind auf dem Server | ||
| + | Wir gehen davon aus das sie unter '''/home/kit''' liegen. | ||
| + | *sudo cp www.it213.int.key /etc/ssl/own.key | ||
| + | *sudo cp www.it213.int-fullchain.pem /etc/ssl/own.crt | ||
| + | ;Anmerkung | ||
| + | Ich nutze diesen Ort für die Zertifikate. Es ist aber kein Standard | ||
| + | |||
| + | =Konfiguration= | ||
| + | ;Wir machen eine Webseite gleich mit einem Redirect von http auf https | ||
| + | *sudo vi /etc/apache2/sites-enabled/000-default.conf | ||
| + | <pre> | ||
| + | <VirtualHost *:80> | ||
| + | RewriteEngine On | ||
| + | RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L] | ||
| + | </VirtualHost> | ||
| + | |||
| + | <VirtualHost *:443> | ||
| + | SSLEngine on | ||
| + | SSLCertificateFile /etc/ssl/own.crt | ||
| + | SSLCertificateKeyFile /etc/ssl/own.key | ||
| + | |||
| + | DocumentRoot /var/www/html | ||
| + | <Directory /var/www/html> | ||
| + | AllowOverride None | ||
| + | Require all granted | ||
| + | </Directory> | ||
| + | </VirtualHost> | ||
| + | </pre> | ||
| + | |||
| + | =Neustarten= | ||
| + | *sudo systemctl restart apache2 | ||
| + | =Checken= | ||
| + | *https://www.it2XX.int | ||
| + | == Tests vom Client == | ||
| + | ;Verschlüsselter Verbindungsaufbau | ||
| + | *openssl s_client -port 443 -host www.it2XX.int | ||
| + | ;Welche Zertifikate werden angeboten? | ||
| + | *nmap --script ssl-cert -p 443 www.it2XX.int | ||
| + | ;Welche SSL/TLS Versionen werden angeboten | ||
| + | *nmap --script ssl-enum-ciphers -p 443 www.it2XX.int | ||
Aktuelle Version vom 4. Juni 2026, 06:40 Uhr
Netzkonfiguration WWW-Server (DMZ)
| Parameter | Wert | Erläuterung |
|---|---|---|
| Netzwerk (NIC) | DMZ | Interface-Zuweisung in VirtualBox |
| IP | 10.88.2XX.11 | Statische IP |
| CIDR | 24 | Classless Inter-Domain Routing Präfixlänge |
| GW | 10.88.2XX.1 | GATEWAY |
| NS | 10.88.2XX.21 | Resolver |
| FQDN | www.it2XX.int | Fully Qualified Domain Name |
| SHORT | www | Short Name |
| DOM | it2XX.int | Domain Name |
- Anpassen des Templates
oder
- debian-setup.sh -f www.it2XX.int -a 10.88.2XX.11/24 -g 10.88.2XX.1 -n 10.88.2XX.21
Einfügen in die ~/.ssh/config
- als kit user
- Auf dem Host über den ProxyJump eintragen
Auf der Maschine
- Installation von apache2
- sudo apt install -y apache2
- Aktiveren von ssl
- sudo a2enmod ssl rewrite
- sudo systemctl restart apache2
Von der Zertifizierungstelle zum Ziel kopieren
- FQDN=www.it2XX.int
- scp $FQDN-fullchain.pem $FQDN.key kit@$FQDN:
Zertifikate
- Voraussetzung Zertifikat und Privkey sind auf dem Server
Wir gehen davon aus das sie unter /home/kit liegen.
- sudo cp www.it213.int.key /etc/ssl/own.key
- sudo cp www.it213.int-fullchain.pem /etc/ssl/own.crt
- Anmerkung
Ich nutze diesen Ort für die Zertifikate. Es ist aber kein Standard
Konfiguration
- Wir machen eine Webseite gleich mit einem Redirect von http auf https
- sudo vi /etc/apache2/sites-enabled/000-default.conf
<VirtualHost *:80>
RewriteEngine On
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/ssl/own.crt
SSLCertificateKeyFile /etc/ssl/own.key
DocumentRoot /var/www/html
<Directory /var/www/html>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
Neustarten
- sudo systemctl restart apache2
Checken
Tests vom Client
- Verschlüsselter Verbindungsaufbau
- openssl s_client -port 443 -host www.it2XX.int
- Welche Zertifikate werden angeboten?
- nmap --script ssl-cert -p 443 www.it2XX.int
- Welche SSL/TLS Versionen werden angeboten
- nmap --script ssl-enum-ciphers -p 443 www.it2XX.int