Apache auf SSL

Henning laclaro at mail.com
Mi Aug 24 08:32:25 CEST 2016


Wenn es eine Internet-Site ist, kannst du auch ein Zertifikat von 
letsencrypt.org verwenden. Zur Aktualisierung verwende ich das simp_le 
Script.

Wenn du SSL für deine VHosts aktiviert hast, sind noch die 
Dateisystem-Berechtigungen für das Zertifikat sind wichtig. Der 
Apache-Benutzer www-data sollte in der Gruppe ssl-cert sein und dein key 
sollte nur von dieser Gruppe lesbar sein, z.B. "chown root:ssl-cert 
key.key; chmod 440 key.key". Auf jeden Fall nicht von jedermann.

-> Siehe weiterhin https://bettercrypto.org/

Ciao

Henning

Am 18.08.2016 um 12:25 schrieb Friedemann Schorer:
> Am 18.8.2016 10:41, schrieb Sven Gehr:
>
>> Hallo zusammen,
>>
>> ist eher eine Frage zu Apache als zu Kolab aber evtl. kann mir jemand
>> einen Schups in die richtige Richtung geben.
>>
>> Ich habe Kolab 3.4 auf einem Ubuntu 14.04.4 LTS laufen und wollte hier
>> nun per SSL auf das Webinterface zugreifen (unverschlüsselt funktioniert)
>>
>> Mein Aufschrieb dazu ist:
>>
>> apt-get install ssl-cert # generiert unter anderem ein selbstsigniertes
>> Zertifikat
>> a2enmod ssl # aktiviert das ssl modul -> symlink unter /etc/apache2/mods-
>> enabled
>> a2ensite default-ssl # aktiviert die default-ssl-Seitenkonfiguration
>> service apache2 force-reload
>>
>> Habe ich ausgeführt aber auf Port 443 lauscht nichts:
>>
>> root at kolab: <mailto:root at kolab:>~# netstat -tulpen
>> Aktive Internetverbindungen (Nur Server)
>> Proto Recv-Q Send-Q Local Address           Foreign Address
>>         State       User       Inode       PID/Program name
>> tcp        0      0 0.0.0.0:4190            0.0.0.0:*
>>               LISTEN      0          13794       1640/cyrus-master
>> tcp        0      0 0.0.0.0:993             0.0.0.0:*
>>               LISTEN      0          13776       1640/cyrus-master
>> tcp        0      0 0.0.0.0:995             0.0.0.0:*
>>               LISTEN      0          13788       1640/cyrus-master
>> tcp        0      0 127.0.0.1:10024         0.0.0.0:*
>>               LISTEN      106        8882        1009/amavisd-new (m
>> tcp        0      0 127.0.0.1:10025         0.0.0.0:*
>>               LISTEN      0          13834       1753/master
>> tcp        0      0 127.0.0.1:10026         0.0.0.0:*
>>               LISTEN      412        1807        1781/python
>> tcp        0      0 127.0.0.1:3306          0.0.0.0:*
>>               LISTEN      103        12488       823/mysqld
>> tcp        0      0 127.0.0.1:10027         0.0.0.0:*
>>               LISTEN      0          13841       1753/master
>> tcp        0      0 0.0.0.0:587             0.0.0.0:*
>>               LISTEN      0          12665       1753/master
>> tcp        0      0 0.0.0.0:110             0.0.0.0:*
>>               LISTEN      0          13782       1640/cyrus-master
>> tcp        0      0 0.0.0.0:9102            0.0.0.0:*
>>               LISTEN      0          1679        1129/bareos-fd
>> tcp        0      0 0.0.0.0:143             0.0.0.0:*
>>               LISTEN      0          13770       1640/cyrus-master
>> tcp        0      0 127.0.0.1:783           0.0.0.0:*
>>               LISTEN      0          9969        1033/spamd.pid
>> tcp        0      0 0.0.0.0:22              0.0.0.0:*
>>               LISTEN      0          4026108     1251/sshd
>> tcp        0      0 0.0.0.0:25              0.0.0.0:*
>>               LISTEN      0          12659       1753/master
>>
>>
>> Habe ich etwas vergessen?
>
>
>
> Der Indianer möchte schon noch ein bißchen mehr wissen - Du mußt ihm
> u.a. noch in der Site-Config mitteilen, welches Zertifikat er nehmen
> soll. Am besten guckst Du mal in die Doku des Apache:
>
> https://httpd.apache.org/docs/current/ssl/
>
> Und bzgl. Security der SSL-Config lohnt es sich noch, in der Datei
> /etc/apache2/mods-enabled/ssl.conf einige Einstellungen vorzunehmen, die
> dann für alle Virtualhosts automatisch gelten, die SSL nutzen. Aktuell
> sehr sichere Einstellungen findest Du fertig für copy-and-paste auf
> http://cipherli.st/
>
>
>
> Friedemann
>
> --
> Cassandra Claire : I respect your position, Professor, he said. I just
> don't share it.
>
>
> _______________________________________________
> users-de mailing list
> users-de at lists.kolab.org
> https://lists.kolab.org/mailman/listinfo/users-de
>


Mehr Informationen über die Mailingliste users-de