Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- apache2_ssl [2021/01/10 10:55] – mho
+++ apache2_ssl [2021/01/10 11:39] (aktuell) – mho
@@ Zeile 7: / Zeile 7: @@
   apt-get install perl-openssl-defaults
+Es gibt zwei Möglichkeiten seinen Webserver mit SSL auszustatten, einmal indem man den
+Webserver mit einen selbsterstellten Zertifikat versteht oder wenn man eine eigene
+besitzt, über eine Zertifikat von einer Zertifizierungsstelle. Hierfür kann man die
+kostenfreie Let's Encrypt Zertifizierungsstelle nutzen.
+Beide Methoden werden hier aufgefuhrt.
+===== SSL über selbsterstelle Zertifikate =====
 CA.pl prüfen ggfs. anpassen:
 <code>
@@ Zeile 37: / Zeile 46: @@
   -> wurde erstellt /etc/pki/CA/newkey.pem (Privat)
-==== Zertifikate für www.fritz.box zur Apache2-Konfiguration ablegen ====
+==== Zertifikate für www.meinwebserver.de zur Apache2-Konfiguration ablegen ====
-  mv /etc/pki/CA/newcert.pem /etc/pki/CA/certs/fritz-box-cert.pem
+  mv /etc/pki/CA/newcert.pem /etc/pki/CA/certs/meinwebserver.de-cert.pem
-  mv /etc/pki/CA/newkey.pem /etc/pki/CA/private/fritz-box-key.pem
+  mv /etc/pki/CA/newkey.pem /etc/pki/CA/private/meinwebserver.de-key.pem
 ==== Passphrase entfernen ====
@@ Zeile 45: / Zeile 54: @@
 einer Passphrase hochfahren kann:
   openssl rsa -in <encrypted-key> -out <decrypted-key>
-  also hier: openssl rsa -in /etc/pki/CA/private/fritz-box-key.pem -out <decrypted-key-decrypted>
+  also hier: openssl rsa -in /etc/pki/CA/private/meinwebserver.de-key.pem -out meinwebserver.de-key-decrypted>
@@ Zeile 52: / Zeile 61: @@
 ==== Konfiguration des Apache2 mit den SSL-Key ====
-Die Konfigurationsdatei des Webservers, z. B. www.fritz.box bearbeiten:
-cd /etc/apache2/apache2/conf oder /etc/apache2/apache2.conf
 Folgende Modul sollte aktiviert werden:
@@ Zeile 63: / Zeile 68: @@
 a2enmod ssl
-/etc/apache2/sites-available/www.fritzbox.conf bearbeiten und wie folgt ändern/ergänzen:
+Die Konfigurationsdatei des Webservers, z. B. www.fritz.box kopieren:
+  cp /etc/apache2/sites-available/www.meinwebserver.de.conf /etc/apache2/sites-available/www.meinwebserver.de-SSL.conf
+/etc/apache2/sites-available/www.meinwebserver.de.conf bearbeiten und wie folgt
+ändern/ergänzen, damit eine Umleitung von http auf https erfolgt:
+<code>
+<Directory /var/www/meinwebserver.de/htdocs>
+...
+RewriteEngine on
+#
+RewriteRule ^_media/(.*)              lib/exe/fetch.php?media=$1  [QSA,L]
+RewriteRule ^_detail/(.*)             lib/exe/detail.php?media=$1  [QSA,L]
+RewriteRule ^_export/([^/]+)/(.*)     doku.php?do=export_$1&id=$2  [QSA,L]
+RewriteRule ^$                        doku.php  [L]
+RewriteCond %{REQUEST_FILENAME}       !-f
+RewriteCond %{REQUEST_FILENAME}       !-d
+RewriteRule (.*)                      doku.php?id=$1  [QSA,L]
+RewriteRule ^index.php$               doku.php
+#
+## Not all installations will require the following line.  If you do,
+## change "/dokuwiki" to the path to your dokuwiki directory relative
+## to your document root.
+RewriteBase /
+#
+## If you enable DokuWikis XML-RPC interface, you should consider to
+## restrict access to it over HTTPS only! Uncomment the following two
+## rules if your server setup allows HTTPS.
+RewriteCond %{HTTPS} !=on
+RewriteRule ^lib/exe/xmlrpc.php$      https://%{SERVER_NAME}%{REQUEST_URI} [L,R=301]
+...
+</Directory>
+</code>
+Jetzt die /etc/apache2/sites-available/www.meinwebserver.de-SSL.conf wie folgt ergänzen:
 <code>
-ServerName www.fritz.box:443
+ServerName www.meinwebserver.de:443
 <IfModule mod_headers.c>Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload" </IfModule>
-SSLCertificateFile "/etc/pki/CA/certs/fritz-box-cert.pem"
+SSLCertificateFile "/etc/pki/CA/certs/meinwebserver.de-cert.pem"
-SSLCertificateKeyFile "/etc/pki/CA/private/fritz-box-decrypt-key.pem"
+SSLCertificateKeyFile "/etc/pki/CA/private/meinwebserver.de-decrypt-key.pem"
 SSLCACertificateFile "/etc/pki/CA/cacert.pem"
+...
 </code>
+Neue .conf-Datei aktivieren:
+  a2ensite www.meinwebserver.de-SSL
 Apache2 neue starten:
   systemctl restart apache2
+**Jetzt ist die Webseite nur noch per https://www.meinwebserver.de erreichbar. HTTP Zugriffe werden umgeleitet.**
+\\
+\\
+\\
+===== SSL mit eigener Domain über Let's Encrypt =====
+Debian 10.x notwendige Vorbereitungen
+<code>
+# Backports für Debian 10.x installieren um die notwendigen neuesten Pakete für certbot zu installieren
+echo "deb http://deb.debian.org/debian buster-backports main" >/etc/apt/sources.list
+# Backports einlesen
+apt update
+# Notwendige Pakete installieren
+apt install snapd -y
+snap install core
+snap refresh core
+snap install --classic certbot
+ln -s /snap/bin/certbot /usr/bin/certbot
+# Certbot ausführen und eigene Domain anmelden -> muss von außen per HTTP (Port 80) und HTTP (Port 443) erreichbar sein
+# Die Angabe hinter -d muss der ServerName sein, der in der Webserver.conf aufgeführt ist.
+certbot --apache -d www.your_domain
+# Damit das Zertifikat immer verlängert wird, solange der Webserver aktiv ist, noch entsprechenden Cron-Eintrag erstellen
+echo "#!/bin/sh" >/etc/cron.daily/certbot
+echo "/usr/bin/certbot renew --dry-run" >>/etc/cron.daily/certbot
+chmod 0755 /etc/cron.daily/certbot
+</code>
 **Jetzt ist die Webseite nur noch per https://www.fritz.box erreichbar. Zugriffe aus http://www.fritz.box werden automatisch umgeleitet.**