Apache2 TLS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 23: | Zeile 23: | ||
*[[Anpassen des Debian Templates]] | *[[Anpassen des Debian Templates]] | ||
oder | oder | ||
| − | *debian-setup.sh -f www.it2XX.int -a 10.88.2XX.11/24 -g 10.88.2XX.1 -n | + | *debian-setup.sh -f www.it2XX.int -a 10.88.2XX.11/24 -g 10.88.2XX.1 -n 10.88.2XX.21 |
| + | |||
| + | =Einfügen in die ~/.ssh/config= | ||
| + | ;als kit user | ||
| + | |||
| + | ;Auf dem Host über den ProxyJump eintragen | ||
| + | |||
=Auf der Maschine= | =Auf der Maschine= | ||
;Installation von apache2 | ;Installation von apache2 | ||
| Zeile 30: | Zeile 36: | ||
*sudo a2enmod ssl rewrite | *sudo a2enmod ssl rewrite | ||
*sudo systemctl restart apache2 | *sudo systemctl restart apache2 | ||
| + | =Von der Zertifizierungstelle zum Ziel kopieren= | ||
| + | *FQDN=www.it2XX.int | ||
| + | *scp $FQDN-fullchain.pem $FQDN.key kit@$FQDN: | ||
=Zertifikate= | =Zertifikate= | ||
| Zeile 67: | Zeile 76: | ||
== Tests vom Client == | == Tests vom Client == | ||
;Verschlüsselter Verbindungsaufbau | ;Verschlüsselter Verbindungsaufbau | ||
| − | *openssl s_client -host www. | + | *openssl s_client -port 443 -host www.it2XX.int |
;Welche Zertifikate werden angeboten? | ;Welche Zertifikate werden angeboten? | ||
| − | *nmap --script ssl-cert www. | + | *nmap --script ssl-cert -p 443 www.it2XX.int |
;Welche SSL/TLS Versionen werden angeboten | ;Welche SSL/TLS Versionen werden angeboten | ||
| − | *nmap --script ssl-enum-ciphers www. | + | *nmap --script ssl-enum-ciphers -p 443 www.it2XX.int |
Aktuelle Version vom 4. Juni 2026, 06:40 Uhr
Netzkonfiguration WWW-Server (DMZ)
| Parameter | Wert | Erläuterung |
|---|---|---|
| Netzwerk (NIC) | DMZ | Interface-Zuweisung in VirtualBox |
| IP | 10.88.2XX.11 | Statische IP |
| CIDR | 24 | Classless Inter-Domain Routing Präfixlänge |
| GW | 10.88.2XX.1 | GATEWAY |
| NS | 10.88.2XX.21 | Resolver |
| FQDN | www.it2XX.int | Fully Qualified Domain Name |
| SHORT | www | Short Name |
| DOM | it2XX.int | Domain Name |
- Anpassen des Templates
oder
- debian-setup.sh -f www.it2XX.int -a 10.88.2XX.11/24 -g 10.88.2XX.1 -n 10.88.2XX.21
Einfügen in die ~/.ssh/config
- als kit user
- Auf dem Host über den ProxyJump eintragen
Auf der Maschine
- Installation von apache2
- sudo apt install -y apache2
- Aktiveren von ssl
- sudo a2enmod ssl rewrite
- sudo systemctl restart apache2
Von der Zertifizierungstelle zum Ziel kopieren
- FQDN=www.it2XX.int
- scp $FQDN-fullchain.pem $FQDN.key kit@$FQDN:
Zertifikate
- Voraussetzung Zertifikat und Privkey sind auf dem Server
Wir gehen davon aus das sie unter /home/kit liegen.
- sudo cp www.it213.int.key /etc/ssl/own.key
- sudo cp www.it213.int-fullchain.pem /etc/ssl/own.crt
- Anmerkung
Ich nutze diesen Ort für die Zertifikate. Es ist aber kein Standard
Konfiguration
- Wir machen eine Webseite gleich mit einem Redirect von http auf https
- sudo vi /etc/apache2/sites-enabled/000-default.conf
<VirtualHost *:80>
RewriteEngine On
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/ssl/own.crt
SSLCertificateKeyFile /etc/ssl/own.key
DocumentRoot /var/www/html
<Directory /var/www/html>
AllowOverride None
Require all granted
</Directory>
</VirtualHost>
Neustarten
- sudo systemctl restart apache2
Checken
Tests vom Client
- Verschlüsselter Verbindungsaufbau
- openssl s_client -port 443 -host www.it2XX.int
- Welche Zertifikate werden angeboten?
- nmap --script ssl-cert -p 443 www.it2XX.int
- Welche SSL/TLS Versionen werden angeboten
- nmap --script ssl-enum-ciphers -p 443 www.it2XX.int