Nginx HTTPS inklusive Client Zertifikat

Aus Xinux Wiki
Version vom 26. März 2025, 17:13 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=nginx: HTTPS-VirtualHost für lila.it113.int unter Rocky Linux= ==Konfiguration erstellen== Die folgende Konfiguration wird als Datei gespeichert unter: *v…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

nginx: HTTPS-VirtualHost für lila.it113.int unter Rocky Linux

Konfiguration erstellen

Die folgende Konfiguration wird als Datei gespeichert unter:

  • vi /etc/nginx/conf.d/lila.it113.int.conf
server {
    listen 80;
    listen [::]:80;

    server_name lila.it113.int;

    # HTTP auf HTTPS weiterleiten
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name lila.it113.int;

    root /var/www/lila;
    index index.html index.htm;

    ssl_certificate /etc/nginx/ssl/lila.it113.int.crt;
    ssl_certificate_key /etc/nginx/ssl/lila.it113.int.key;

    location / {
        try_files $uri $uri/ =404;
    }
}

Vorbereitung der Seite

Verzeichnis für Inhalte anlegen
  • mkdir -p /var/www/lila
Script zum Erzeugen der Startseite herunterladen (außerhalb des DocumentRoot)
Startseite erzeugen
  • ./webgen.sh lila > /var/www/lila/index.html

Erstellung einer CSR für den Client

Um ein **client.csr** zu erstellen, geh wie folgt vor:

Erstelle den privaten Schlüssel und die CSR für den Client
  • openssl req -new -nodes -newkey rsa:2048 -keyout /etc/nginx/csr/client.lila.it113.int.key -out /etc/nginx/csr/client.lila.it113.int.csr -subj "/CN=client.lila.it113.int"

Signierung der CSR

Die CSR kann nun von einer CA signiert werden. Wenn du **Let’s Encrypt** oder eine interne **CA** verwendest, geh wie folgt vor:

Für Let’s Encrypt (mit certbot) eine Zertifikatsanforderung stellen
  • certbot certonly --nginx -d client.lila.it113.int
Alternativ, wenn du eine interne CA hast, signiere die CSR
  • openssl ca -in /etc/nginx/csr/client.lila.it113.int.csr -out /etc/nginx/ssl/client.lila.it113.int.crt

Firewall konfigurieren

Falls noch nicht geschehen, stelle sicher, dass die notwendigen Ports in der Firewall freigegeben sind:

HTTPS (Port 443) freigeben
  • firewall-cmd --permanent --add-service=https
HTTP (Port 80) freigeben
  • firewall-cmd --permanent --add-service=http
Firewall neu laden
  • firewall-cmd --reload

nginx neu starten

Nachdem du die Konfiguration angepasst hast, starte nginx neu, um die Änderungen zu übernehmen:

nginx neu starten
  • systemctl restart nginx

Fehleranalyse

Falls der Zugriff auf die Seite weiterhin blockiert wird, prüfe SELinux und stelle sicher, dass der korrekte Sicherheitskontext gesetzt ist:

Kontext setzen
  • chcon -Rt httpd_sys_content_t /var/www/lila
nginx neu laden
  • systemctl reload nginx
SELinux-Probleme analysieren
  • ausearch -m avc -ts recent
Abgerufen von „http://wiki.ixheim.de/index.php?title=Nginx_HTTPS_inklusive_Client_Zertifikat&oldid=60839