Netzkonfiguration WWW-Server (DMZ)

Anpassen des Templates

• Anpassen des Debian Templates

oder

• debian-setup.sh -f www.it2XX.int -a 10.88.2XX.11/24 -g 10.88.2XX.1 -n 10.88.2XX.21

Einfügen in die ~/.ssh/config

als kit user

Auf dem Host über den ProxyJump eintragen

Auf der Maschine

Installation von apache2

• sudo apt install -y apache2

Aktiveren von ssl

• sudo a2enmod ssl rewrite
• sudo systemctl restart apache2

Zertifikate

Voraussetzung Zertifikat und Privkey sind auf dem Server

Wir gehen davon aus das sie unter /home/kit liegen.

• sudo cp www.it213.int.key /etc/ssl/own.key
• sudo cp www.it213.int-fullchain.pem /etc/ssl/own.crt

Anmerkung

Ich nutze diesen Ort für die Zertifikate. Es ist aber kein Standard

Konfiguration

Wir machen eine Webseite gleich mit einem Redirect von http auf https

• sudo vi /etc/apache2/sites-enabled/000-default.conf

<VirtualHost *:80>
    RewriteEngine On
    RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>

<VirtualHost *:443>
    SSLEngine on
    SSLCertificateFile    /etc/ssl/own.crt
    SSLCertificateKeyFile /etc/ssl/own.key

    DocumentRoot /var/www/html
    <Directory /var/www/html>
        AllowOverride None
        Require all granted
    </Directory>
</VirtualHost>

Neustarten

• sudo systemctl restart apache2

Checken

• https://www.it2XX.int

Tests vom Client

Verschlüsselter Verbindungsaufbau

• openssl s_client -port 443 -host www.it2XX.int

Welche Zertifikate werden angeboten?

• nmap --script ssl-cert -p 443 www.it2XX.int

Welche SSL/TLS Versionen werden angeboten

• nmap --script ssl-enum-ciphers -p 443 www.it2XX.int