Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste Überarbeitung Beide Seiten, nächste Überarbeitung | ||
lpi2:apache-ssl [2018/08/10 10:23] ingo_wichmann [Debian ab 6.0] |
lpi2:apache-ssl [2020/03/14 18:11] ingo_wichmann [mit OpenSSL s_server testen] |
||
---|---|---|---|
Zeile 16: | Zeile 16: | ||
==== CAA Record ==== | ==== CAA Record ==== | ||
+ | Falls auf der Domain CAA Einträge hinterlegt sind, entweder die aktuelle CA ergänzen oder die Einträge entfernen: | ||
+ | dig CAA linuxhotel.de @141.1.1.1 | ||
+ | |||
CAA Records funktionieren mit bind erst ab Version [[https://kb.isc.org/article/AA-01210/0/BIND-9.9.6-Release-Notes.html|9.9.6]] | CAA Records funktionieren mit bind erst ab Version [[https://kb.isc.org/article/AA-01210/0/BIND-9.9.6-Release-Notes.html|9.9.6]] | ||
für Wildcard Zertifikate: | für Wildcard Zertifikate: | ||
<file> | <file> | ||
- | example.com. CAA 0 issue "cacert.org" | + | example.com. 0 IN CAA 0 issue "cacert.org" |
- | example.com. CAA 0 issuewild "cacert.org" | + | example.com. 0 IN CAA 0 issuewild "cacert.org" |
- | example.com. CAA 0 issue "letsencrypt.org" | + | example.com. 0 IN CAA 0 issue "letsencrypt.org" |
- | example.com. CAA 0 issuewild "letsencrypt.org" | + | example.com. 0 IN CAA 0 issuewild "letsencrypt.org" |
</file> | </file> | ||
===== Zertifikate, Anträge und Schlüssel an die passenden Stellen kopieren ===== | ===== Zertifikate, Anträge und Schlüssel an die passenden Stellen kopieren ===== | ||
Zeile 48: | Zeile 51: | ||
cp /root/server-ssl/serverkey.pem private/server.key | cp /root/server-ssl/serverkey.pem private/server.key | ||
+ | ===== mit OpenSSL s_server testen ====== | ||
+ | |||
+ | cd /etc/ssl | ||
+ | sudo -u www-data -g ssl openssl s_server -cert certs/servercert.pem -key private/serverkey.pem -www | ||
+ | firefox https://localhost:4433 | ||
+ | sudo -u www-data -g ssl openssl s_server -cert certs/servercert.pem -key private/serverkey.pem -WWW | ||
+ | firefox https://localhost:4433/certs/cacert.pem | ||
+ | |||
+ | TODO: noch nicht getestet: | ||
+ | sslscan notebook05.linuxhotel.de | ||
+ | testssl.sh notebook05.linuxhotel.de | ||
+ | |||
+ | |||
+ | Sicherheit überwachen lassen: https://siwecos.de/ | ||
===== Apache konfigurieren ===== | ===== Apache konfigurieren ===== | ||
==== SuSE ==== | ==== SuSE ==== | ||
Zeile 134: | Zeile 151: | ||
Dienst neu starten: | Dienst neu starten: | ||
- | /etc/init.d/apache2 restart | + | service apache2 restart |
==== CentOS 5 ==== | ==== CentOS 5 ==== |