Änderungen

Zur Navigation springen Zur Suche springen
5.974 Bytes entfernt ,  20:17, 24. Jun. 2015
Zeile 183: Zeile 183:  
=== Apache Webserver ===
 
=== Apache Webserver ===
   −
==== Allgemeines ====
+
Siehe  [[Apache Webserver]]
* [http://webwelt.horus.at/apache/home.html Tutorial] für [http://httpd.apache.org/docs/ Apache]
  −
* Für die Erstellung einfachen '''.htaccess'''-Zugriffsschutzes hilft [http://www.bananajoe.de/cgi-bin/pass.cgi BananaJoe].
  −
* [http://www.heise.de/netze/WebDAV-mit-Apache--/artikel/77605/0 WebDAV mit Apache],[http://www.itopen.de/webdav_mit_apache WebDAV mit Apache], [http://www.zeroathome.de/wordpress/ftp-und-webdav-fuer-euren-ubuntu-server/ WebDAV und SSL mit Apache]
  −
* [http://www.webreference.com/programming/Apache-Site-Down-Notice/ Versetzen des Apache Servers in den Maintenance-Modus] über .htaccess im Wurzelverzeichnis des Apache Servers.
  −
 
  −
==== SSL-Zertifikate ====
  −
 
  −
===== Allgemeines =====
  −
SSL-Zertifikate enthalten den öffentliche Komponente eines Schlüssels sowie den Namen und sonstige Details des Schlüsseleigentümers und ggf. den Namen der Zertifizierungsstelle (CA). SSL-Zertifikate werden regelmäßig von der Zertifizierungsstelle signiert. Im Ausnahmefall kann man ein Zertifikat auch selbst signieren (mit dem privaten Teil seines Schlüssels).
  −
 
  −
 
  −
Siehe [http://www.kuketz-blog.de/ssl-zertifikate-und-ihre-unterschiede/ Einteilung der Zertifikate]
  −
 
  −
===== Selbstsigniertes Zertifikat erstellen =====
  −
 
  −
  openssl req -new -x509 -nodes -out server.crt -keyout server.key
  −
 
  −
Der private Schlüssel server.key kann nach <code>/etc/ssl/private</code> und das Zertifikat mit dem öffentlichen Schlüssel server.crt kann nach <code>/etc/ssl/certs</code> kopiert werden
  −
 
  −
===== Apache2 konfigurieren =====
  −
 
  −
Mit
  −
  a2enmod ssl
  −
das SSL-Modul von Apache2 aktivieren
  −
 
  −
 
  −
Einen VirtualHost (/etc/apache2/sites-available/...) mit *:443 statt *:80 einrichten und folgende Direktiven einfügen:
  −
 
  −
SSLEngine            on
  −
SSLCertificateFile    /etc/ssl/certs/server.crt
  −
  SSLCertificateKeyFile /etc/ssl/private/server.key
  −
 
  −
Eventuell ein NameVirtualServer *:443 in /etc/apache2/ports.conf einfügen.
  −
 
  −
===== Links überprüfen =====
  −
 
  −
Die Links auf die Seite und auch innerhalb sollten nun mit http'''s''':// beginnen und nicht mehr mit http://. Das gilt auch für Referer. In [[MediaWiki]] ist in der /var/lib/mediawiki/LocalSettings.php <code>$wgServer</code> auf "https://www.myserver.de" zu setzen.
  −
 
  −
===== Certificate Signing Request =====
  −
 
  −
Eine CSR-Datei, deren Inhalt man an eine Certificate Authority wie startssl verschickt, um dem Zertifikat vertrauen zu lassen, erstellt man folgendermaßen:
  −
 
  −
  export DOMAIN="BEISPIEL.de"
  −
  openssl genrsa -out ${DOMAIN}.de.key 2048 # privaten und öffentlichen Schlüssel erzeugen
  −
  openssl req -new -key ${DOMAIN}.key -out ${DOMAIN}.csr # CSR erzeugen
  −
  cat ${DOMAIN}.csr # CSR anzeigen lassen (für Copy & Paste)
  −
 
  −
===== Kostenlose offizielle Zertifikate =====
  −
 
  −
StartSSL scheint der einzige offizielle Anbieter von kostenlosen SSL-Zertifikaten zu sein. Diese Zertifikate eignen sich angeblich auch für [[S/MIME]]. Jedes Jahr müssen die kostenlosen Zertifikate verlängert werden.
  −
 
  −
 
  −
Siehe
  −
* [http://www.debacher.de/wiki/Server-Zertifikate_mit_StartSSL Anleitung für StartSSL von debacher]
  −
* [http://www.small-blog.de/verlangern-eines-startssl-free-class-1-ssl-zertifikat/ StartSSL-Zertifikat verlängern]
  −
* [http://www.hagenfragen.de/tipps-und-tricks/startssl-client-certificate-verlaengern.html http://www.hagenfragen.de/tipps-und-tricks/startssl-client-certificate-verlaengern.html noch einmal: Zertifikat verlängern]
  −
 
  −
===== Kommerzielle SSL-Zertifikatanbieter =====
  −
 
  −
* [https://www.leaderssl.de/products/essentialssl LeaderSSL], Zertifikate ab 14 € p.a.
  −
* [http://www.dmsolutions.de/ssl.html dmsolutions], Zertifikate verschiedener Anbieter ab 20 € p.a., u.a. RapidSSL
  −
* HostEurope, Zertifikate ab 30 € p.a.
  −
 
  −
===== Bugs in SSL =====
  −
 
  −
Laut [http://fm4.orf.at/stories/1736830/ FM4] stammt der "Heartbleed"-Bug u.a. in der [[OpenSSL]]-Software wohl aus der Feder von der NSA nahestehenden Kreisen.
  −
 
  −
===== Weiterführendes =====
  −
Siehe
  −
* [http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html FAQ für SSL]
  −
* [http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html StartSSL] bietet kostenlose, ein Jahr gültige SSL-Zertifikate.
  −
** Dazu [http://hydra.geht.net/tino/howto/linux/apache/apache--ssl/startssl/ Anleitung bei Hydra]
  −
** [http://www.sslshopper.com/article-free-ssl-certificates-from-a-free-certificate-authority.html Besprechung der Vor- und Nachteile von StartSSL free]
  −
* Ausprobieren kann man auch zunächst mal ein selbst erstelltes Zertifikat (Siehe [http://www.sslshopper.com/article-how-to-create-and-install-an-apache-self-signed-certificate.html Nachteile eines selbst signierten Zertifikats]):
  −
** [http://blog.kabisa.nl/2010/03/08/setup-a-self-signed-ssl-site-with-apache2/ Apache2 mit SSL] auf [[Debian]] einrichten
  −
** http://mrfoo.de/archiv/347-Howto-Apache2-SSL-Zertifikat-erstellen-und-aktivieren.html
  −
** [http://www.matthias-sonnenkalb.net/archives/linux/de/eigenes-ssl-zertifikat-erstellen-und-server-einrichten/index.php Erstellen des Zertifikats und Einrichtung] des [[Apache]] unter [[OpenSuse]]
  −
 
  −
Siehe auch [[Linux-Tipps#SSL]]
  −
 
  −
==== Apache als Reverse Proxy ====
  −
 
  −
Ein Reverse Proxy ist ein Server, der Anfragen an einen anderen Server weiterleitet und dessen Antworten an den Client weitergibt, ohne dass dieser merkt, dass hinter dem Reverse Proxy noch ein anderer Server sitzt, der die Daten liefert.
  −
 
  −
Ein Anwendungsbeispiel ist z.B. die Datenbank [[CouchDB]], die standardmäßig auf dem [http://localhost:5984 Port 5984] läuft, hinter einem Apache zu verstecken.
  −
 
  −
Dazu müssen die Module <code>proxy</code> und <code>proxy_http</code> installiert sein:
  −
  sudo a2enmod proxy
  −
  sudo a2enmod proxy_http
  −
  sudo service apache2 restart
  −
 
  −
In der virtuellen Server-Definition in <code>/etc/apache2/sites-available</code> müssen dann folgende Direktiven eingefügt werden:
  −
  ProxyPass /couchdb/ http://localhost:5984/
  −
  ProxyPassReverse /couchdb/ http://localhost:5984/
  −
 
  −
 
  −
 
  −
Siehe zu Apache als Reverse Proxy auch
  −
* https://thomas-leister.de/internet/apache-reverse-proxy-mit-ssl-support-einrichten/
      
=== Mini-Web-Server ===
 
=== Mini-Web-Server ===

Navigationsmenü