Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

--- lpi2:apache-ssl [2018/10/12 15:28]
127.0.0.1 Externe Bearbeitung
+++ lpi2:apache-ssl [2026/03/20 15:18] (aktuell)
@@ Zeile 1: / Zeile 1: @@
-Todo: https://weakdh.org/sysadmin.html cipher list intregrieren ((
+Todo: https://ssl-config.mozilla.org/ benutzen
-<file>
-SSLProtocol             all -SSLv2 -SSLv3
-SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
+Alternativ: [[mod_md]]
-SSLHonorCipherOrder     on
+====== SSL / TLS für Apache httpd ======
-</file>
-))
-====== SSL / TLS für Apache ======
 ===== Vorraussetzungen =====
   * [[apache]] installiert
   * [[ssl| SSL Zertifikat]] und Diffie-Hellman Parameter-Datei erstellt
-  * Korrektes [[bind|DNS]] evtl. inkl. CAA Record
+  * Korrektes [[bind|DNS]] evtl. inkl.  [[wpde>HTTPS_Resource_Record|HTTPS RR]] und [[WPDE>DNS_Certification_Authority_Authorization|CAA RR]]
   * Korrekte [[zeitserver|Uhrzeiten]] auf allen Rechnern
 ==== CAA Record ====
-Falls auf der Domain CAA Einträge hinterlegt sind, entweder die aktuelle CA ergänzen oder die Einträge entfernen:
-  dig CAA linuxhotel.de @141.1.1.1
-CAA Records funktionieren mit bind erst ab Version [[https://kb.isc.org/article/AA-01210/0/BIND-9.9.6-Release-Notes.html|9.9.6]]
+Falls auf der Domain [[WPDE>DNS_Certification_Authority_Authorization|CAA]] Einträge hinterlegt sind, entweder die aktuelle CA ergänzen oder die Einträge entfernen:
+  dig CAA linuxhotel.de @141.1.1.1
 für Wildcard Zertifikate:
@@ Zeile 28: / Zeile 22: @@
 example.com. 0 IN CAA 0 issuewild "letsencrypt.org"
 </file>
+==== HTTPS Record ====
+optional: [[wpde>HTTPS_Resource_Record|HTTPS RR]] im DNS eintragen:
+<file>
+www.example.com. HTTPS 9 .
+</file>
 ===== Zertifikate, Anträge und Schlüssel an die passenden Stellen kopieren =====
 ==== Debian (ab 8.0) ====
@@ Zeile 52: / Zeile 53: @@
 ===== mit OpenSSL s_server testen ======
-TODO: noch nicht getestet
   cd /etc/ssl
   sudo -u www-data -g ssl openssl s_server -cert certs/servercert.pem -key private/serverkey.pem -www
-  firefox https://localhost
+  firefox https://localhost:4433
   sudo -u www-data -g ssl openssl s_server -cert certs/servercert.pem -key private/serverkey.pem -WWW
-  firefox https://localhost/certs/cacert.pem
+  firefox https://localhost:4433/certs/cacert.pem
+TODO: noch nicht getestet:
   sslscan notebook05.linuxhotel.de
   testssl.sh  notebook05.linuxhotel.de

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge