ubuntuusers.de

Apache/SSL

Status: Ungelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |
Dieses Thema ist die Diskussion des Artikels Apache/mod_ssl.

aasche

Anmeldungsdatum:
30. Januar 2006

Beiträge: 14259

I-Punkt schrieb:

<virtualhost *:443>
...
        SSLEngine On
        SSLCertificateFile /etc/apache2/ssl/apache.pem
...
</virtualhost>

Die Punkte ... stehen stellvertretend fuer weitere Eintraege. Daher logisch, dass es klappt, wenn man sie weglaesst... ☺

I-Punkt Team-Icon

Anmeldungsdatum:
9. Oktober 2008

Beiträge: 1180

aasche schrieb:

Die Punkte ... stehen stellvertretend fuer weitere Eintraege. Daher logisch, dass es klappt, wenn man sie weglaesst... ☺

Ok, alledings für mich trotzdem anfangs verwirrend, denn die Datei ist/war leer und wurde via Copy&Paste aus dem Wiki gefüllt. So wie ich es meist anstelle.

Hauptsache es funktioniert 👍

aasche

Anmeldungsdatum:
30. Januar 2006

Beiträge: 14259

I-Punkt schrieb:

Ok, alledings für mich trotzdem anfangs verwirrend, denn die Datei ist/war leer und wurde via Copy&Paste aus dem Wiki gefüllt.

Punkte entfernt - da der Artikel kein Tag "Fortgeschritten" verwendet und tatsaechlich nur das Erstellen (nicht das Bearbeiten) der Datei beschreibt.

mandrake1988

Anmeldungsdatum:
25. Dezember 2008

Beiträge: 68

Wohnort: Berlin

Hallo Leute,

da in einer Diskussion (hier) zur SSL- Verschlüsselung die Frage aufkam, was die Zeile

ln -sf /etc/apache2/ssl/apache.pem /etc/apache2/ssl/`/usr/bin/openssl x509 -noout -hash < /etc/apache2/ssl/apache.pem`.0

so bewirkt fiel mir keine sinnvolle Erklärung ein, vor allem da dieser Symlink auch später nicht mehr erwähnt wird.

Ich habe deshalb, auch unter dem Gesichtspunkt "mit 14.04 mal probieren" begonnen, den Vorbereitungs/Konfigurationsteil etwas umzuschreiben und unter anderem Hinweise auch auf EC- Verschlüsselung (seit 14.04 mit Apache 2.4 ja möglich) und ein paar erklärende Hinweise eingebaut. Da ich hier im Wiki noch nichts selbst gemacht habe und keinem auf die Füße treten möchte liegt mein Text momentan noch auf meinem Server (http://bleuelmedia.com/ssl.html) und ist als Vorschlag zu verstehen.

Btw: Die Experten-Info am Schluss des Artikels ("es darf aus technischen Gründen nur einen VirtualHost für Port 443 geben") ist so nicht korrekt - ich fahre schon seit langem einen Apache 2.2 mit mehreren SSL- VirtualHosts und verschiedenen Zertifikaten und hatte damit nie Probleme. Wurde das u.U. seit der Artikelerstellung nachgerüstet?

Grüße, mandrake

noisefloor Team-Icon

Anmeldungsdatum:
6. Juni 2006

Beiträge: 29567

Hallo,

Danke für die Hinweis ☺

Das Vorgehen ist hier so: wir, dass Wikiteam schiebt den Artikel in die Baustelle, dann kannst du in Ruhe alle Änderungen einpflegen. Nach dem Review durch das Wikiteam (korrekter Syntax, Wikikonformität etc.) wandert der Artikel dann wieder ins Wiki.

"Kaputt" machen kannst du übrigens nichts, weil das Wiki voll revisioniert ist, d.h. wir können jede alte Revision wieder herstellen.

Hier kannst du los legen: Baustelle/Apache/SSL. Fertigstellungsdatum bitte nach eigenem ermessen anpassen. Und bei Fragen: hier im Thread einfach stellen.

Gruß, noisefloor

mandrake1988

Anmeldungsdatum:
25. Dezember 2008

Beiträge: 68

Wohnort: Berlin

Hallöchen,

habe dann also mal ein wenig in der Baustelle geschraubt am ehemaligen Abschnitt "Vorbereitungen" (jetzt "Einrichtung"). Grob würde ich das schon als "Komplett" bezeichnen, ich muss nur noch ein paar Kleinigkeiten (und alle Probleme und Missverständnisse die ihr findet 😉 ) beheben. Dazu auch eine kurze Frage:

Wie wird das mit externen Links auf private Blogs gehandhabt? Auf Wikipedia und z.B. die OpenSSL-Doku scheint ja kein Problem zu sein, das war vorher schon drin. Da ich allerdings noch einen Block mit "Experten-Infos" zu EC-Schlüsseln eingefügt habe wollte ich auf eine entsprechende Informationsquelle verweisen die unter anderem erklärt, welche Kurven man weshalb am ehesten nutzen sollte... Muss ich da so rein rechtlich oder bzgl. irgendwelcher Wiki-Vorgaben auf was besonderes achten?

Danke schonmal für die prompte Reaktion und Erläuterung ☺

mandrake

noisefloor Team-Icon

Anmeldungsdatum:
6. Juni 2006

Beiträge: 29567

Hallo,

grundsätztlich darfst du auf alle (legalen) Seiten hinweisen (=einen Link im Artikel einbauen), sofern die brauchbare Infos enthalten.

Gruß, noisefloor

EureDudeheit

Avatar von EureDudeheit

Anmeldungsdatum:
19. November 2007

Beiträge: 231

Wohnort: /home

Hallo zusammen,

heute bin ich auf diesen Beitrag gestoßen. Hier wird das Vorgehen einiger CAs beleuchtet:

Warum eine CA die Schlüssel trotz solcher etablierter Verfahren selbst generiert und damit das Public/Private-Prinzip untergräbt, bleibt unverständlich.

(...)

 Beide setzen sogar noch eins drauf, indem sie das Zertifikat samt privatem Schlüssel in einer unverschlüsselten Mail versenden. Wer diese Mail in die Finger bekommt, kann nicht nur die vertraulichen Daten entschlüsseln, sondern sich als denjenigen ausgeben, für den das Zertifikat gedacht war.

Damit ist die ganze SSl-Geschichte ja im schlimmsten Falle für die Katz... Ich finde das schon ein Starkes Stück:

 GetGoSSL verteidigte das Vorgehen damit, dass die CSR-Generierung für unbedarfte Nutzer ein sehr komplizierter Prozess sei.

Sorry, aber das ist eine ziemlich schwache Ausrede. Dann doch lieber selbst erstellt und signiert als einen Private-Key(!) womöglich auch noch ohne Passphrase (!) über Mail zu verschicken. Vielleicht könnte man im Artikel noch etwas darauf eingehen. Da ja auch viele User mit weniger Background (mich eingeschlossen) dieses Wiki benutzen, und die Möglichkeit in Erwägung ziehen, ihre Schlüssel von einer CA signieren (bzw. ausstellen) zu lassen, sollte man vielleicht auf diesen Sachverhalt hinweisen.

mandrake1988

Anmeldungsdatum:
25. Dezember 2008

Beiträge: 68

Wohnort: Berlin

Hi,

das klingt wirklich nicht schön in diesem Artikel und bestärkt mich mal wieder in meinem Glauben, dass dieses ganze hochzentrale CA-Gehabe nichts weiter ist als eine Gelddruckmaschinerie - Sicherheit interessiert da wie immer am allerwenigsten, solange die Zahlen stimmen... Ich könnte dazu jetzt noch wesentlich mehr schreiben, insbesondere zu dem "für unbedarfte Nutzer zu kompliziert"-Thema - ich glaube aber das sprengt hier den Rahmen. Falls du an anderer Stelle im Forum oder sonstwo dazu etwas machen willst lade mich gern ein, interessante Diskussion.

Zum Thema: Ich bin mir nicht sicher, ob ein solcher Hinweis im Bezug auf die Einrichtung von SSL im Apache von großer Relevanz ist. Ich denke Ziel des Wiki-Artikels ist es, die technischen Aspekte der Generierung von Zertifikaten sowie deren Installation zu beschreiben - Hintergründe sollte man an anderer Stelle nachlesen (ein genereller SSL-Artikel? Wikipedia vllt?).

Aber: Was vielleicht wirklich eine Überlegung wert wäre ist, die Erzeugung von CSR's mit in die Anleitung aufzunehmen, als Alternative zum "kompletten selbst machen". Die Meinung der Wiki-Chefs würde mich dazu interessieren, bevor ich mir überlege wie ich das mit aufnehmen könnte 😉

Grüße, mandrake

EureDudeheit

Avatar von EureDudeheit

Anmeldungsdatum:
19. November 2007

Beiträge: 231

Wohnort: /home

Zum Thema: Ich bin mir nicht sicher, ob ein solcher Hinweis im Bezug auf die Einrichtung von SSL im Apache von großer Relevanz ist. Ich denke Ziel des Wiki-Artikels ist es, die technischen Aspekte der Generierung von Zertifikaten sowie deren Installation zu beschreiben - Hintergründe sollte man an anderer Stelle nachlesen (ein genereller SSL-Artikel? Wikipedia vllt?).

Das sehe ich auch so. Ein Hinweis wäre prinzipiell aber nicht schlecht. Der Wikipedia-Artikel wird ja auch verlinkt. Die von dir angesprochenen Hintergründe sollte eigentlich auch jeder, der einen Server betreibt verinnerlichen. Dann würde sich

1
GetGoSSL verteidigte das Vorgehen damit, dass die CSR-Generierung für unbedarfte Nutzer ein sehr komplizierter Prozess sei.

das auch von selbst erledigen. Ein Hinweis auf die SSL zugrundeliegenden Verfahren fände ich daher obligat. Dann könnte man sich selber einen Reim drauf machen. Ich persönlich wäre skeptisch wenn jemand für mich Private Keys erstellen würde. Vielleicht tut sich auch was bei den CAs... Kann ja sein dass die ihre Methoden mal überdenken. Sollte aber die Erzeugung von Zertifikaten mittels CSRs mit aufgenommen werden, wäre der Hinweis wichtig (wie z.B. der Hinweis auf Fremdquellen). Ich bleib auf jeden Fall mal dran. Heute aber nicht mehr 😉

herrmeier

Anmeldungsdatum:
5. Oktober 2006

Beiträge: 297

Aus meiner Sicht ist beim Punkt: Kryptografie mit elliptischen Kurven bei dem Befehl: openssl ecparam -out /etc/ssl/private/apache.key -name secp256k1 -genkey das Hochkomma hinten zuviel. Ich probiere es jetzt mal aus ;-) Viele Grüße und vielen Dank für die prima Arbeit! Hans

mandrake1988

Anmeldungsdatum:
25. Dezember 2008

Beiträge: 68

Wohnort: Berlin

Hi,

da hast du natürlich vollkommen Recht - die müssen da irgendwie reingerutscht sein... Habs korrigiert, danke für den Hinweis!

Grüße, mandrake

frustschieber Team-Icon

Ehemalige
Avatar von frustschieber

Anmeldungsdatum:
4. Januar 2007

Beiträge: 4259

Hallo, wie ist hier der Stand der Dinge? Gruss

mal-zeit

Avatar von mal-zeit

Anmeldungsdatum:
19. Februar 2013

Beiträge: 105

Moin,

bin grade dabei meinen kleinen Heimserver auf SSl umzustellen...

*korinthenkackmodus-ein*

1
2
To activate the new configuration, you need to run:
  service apache2 restart

... oder muss es doch das force-reload sein?

*korinthenkackmodus-aus*

Gruß und danke allen die am Artikel beteiligt sind/waren... perfekt DAU-freundlich für mich 😉

mal-zeit

Avatar von mal-zeit

Anmeldungsdatum:
19. Februar 2013

Beiträge: 105

Und nochmal mäggern 😉

...

Dieser VirtualHost wird nun mit

1
2
sudo a2ensite ssl
sudo service apache2 force-reload 

aktiviert.

...aber wenn ich eine ssl.conf anlege, muss es doch scheinbar (war grad bei mir so) wie folgt lauten:

1
2
sudo a2ensite ssl.conf
sudo service apache2 force-reload 

Korrekt? oder irre ich *nettgugg*

1
2
3
4
5
6
xxx@yyy ~ % sudo a2ensite ssl
ERROR: Site ssl does not exist!
1 xxx@yyy ~ % sudo a2ensite ssl.conf                                                                    :(
Enabling site ssl.conf.
To activate the new configuration, you need to run:
  service apache2 reload

Gruß