Benutzer-Werkzeuge
lpi2:apache-ssl
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
|
lpi2:apache-ssl [2020/03/14 19:10] ingo_wichmann |
lpi2:apache-ssl [2026/03/20 15:18] (aktuell) |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| - | Todo: https://weakdh.org/sysadmin.html cipher list intregrieren (( | + | Todo: https://ssl-config.mozilla.org/ benutzen |
| - | <file> | + | |
| - | SSLProtocol all -SSLv2 -SSLv3 | + | |
| - | SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA | + | Alternativ: [[mod_md]] |
| - | SSLHonorCipherOrder on | + | ====== SSL / TLS für Apache httpd ====== |
| - | </file> | + | |
| - | )) | + | |
| - | TODO: Let's encrypt von Apache selber machen lassen: https://httpd.apache.org/docs/2.4/mod/mod_md.html | + | |
| - | + | ||
| - | ====== SSL / TLS für Apache ====== | + | |
| ===== Vorraussetzungen ===== | ===== Vorraussetzungen ===== | ||
| * [[apache]] installiert | * [[apache]] installiert | ||
| * [[ssl| SSL Zertifikat]] und Diffie-Hellman Parameter-Datei erstellt | * [[ssl| SSL Zertifikat]] und Diffie-Hellman Parameter-Datei erstellt | ||
| - | * Korrektes [[bind|DNS]] evtl. inkl. CAA Record | + | * Korrektes [[bind|DNS]] evtl. inkl. [[wpde>HTTPS_Resource_Record|HTTPS RR]] und [[WPDE>DNS_Certification_Authority_Authorization|CAA RR]] |
| * Korrekte [[zeitserver|Uhrzeiten]] auf allen Rechnern | * Korrekte [[zeitserver|Uhrzeiten]] auf allen Rechnern | ||
| ==== CAA Record ==== | ==== CAA Record ==== | ||
| - | Falls auf der Domain CAA Einträge hinterlegt sind, entweder die aktuelle CA ergänzen oder die Einträge entfernen: | ||
| - | dig CAA linuxhotel.de @141.1.1.1 | ||
| - | CAA Records funktionieren mit bind erst ab Version [[https://kb.isc.org/article/AA-01210/0/BIND-9.9.6-Release-Notes.html|9.9.6]] | + | Falls auf der Domain [[WPDE>DNS_Certification_Authority_Authorization|CAA]] Einträge hinterlegt sind, entweder die aktuelle CA ergänzen oder die Einträge entfernen: |
| + | dig CAA linuxhotel.de @141.1.1.1 | ||
| für Wildcard Zertifikate: | für Wildcard Zertifikate: | ||
| Zeile 30: | Zeile 22: | ||
| example.com. 0 IN CAA 0 issuewild "letsencrypt.org" | example.com. 0 IN CAA 0 issuewild "letsencrypt.org" | ||
| </file> | </file> | ||
| + | |||
| + | ==== HTTPS Record ==== | ||
| + | optional: [[wpde>HTTPS_Resource_Record|HTTPS RR]] im DNS eintragen: | ||
| + | <file> | ||
| + | www.example.com. HTTPS 9 . | ||
| + | </file> | ||
| + | |||
| ===== Zertifikate, Anträge und Schlüssel an die passenden Stellen kopieren ===== | ===== Zertifikate, Anträge und Schlüssel an die passenden Stellen kopieren ===== | ||
| ==== Debian (ab 8.0) ==== | ==== Debian (ab 8.0) ==== | ||
lpi2/apache-ssl.txt · Zuletzt geändert: 2026/03/20 15:18 (Externe Bearbeitung)
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
