Code
s1:~# file /opt/pdadmin/sslcerts/s1.stefanb341.de-key
/opt/pdadmin/sslcerts/s1.stefanb341.de-key: broken symbolic link to /etc/letsencrypt/live/s1.stefanb341.de/prikey.pemda scheint das Problem zu sein. Aber warum?
nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)
-
-
Code
s1:~# file /opt/pdadmin/sslcerts/s1.stefanb341.de-key /opt/pdadmin/sslcerts/s1.stefanb341.de-key: broken symbolic link to /etc/letsencrypt/live/s1.stefanb341.de/prikey.pemda scheint das Problem zu sein. Aber warum?
ein Tippfehler im Symlink. Es ist "prikey.pem" angegeben und nicht "privkey.pem".
-
Das funktioniert jetzt soweit. Zwei Fragen habe ich noch:
1.
TLS1.0 sollte übrigens im httpd Template ebenfalls deaktiviert werden, da unsicher. Die sieht es in meiner Apache 2.4 Konfigurieren aus:
BashSSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256" SSLProtocol All -SSLv3 -TLSv1 -TLSv1.1 SSLCompression Off SSLHonorCipherOrder On SSLSessionTickets OffWo und wie deaktiviere ich das?
2. Wie stelle ich sicher, dass alle Zertifikate automatisch aktualisiert werden?
-
crontab -e
schauen, ob
35 4 * * * /opt/pdadmin/bin/letsencrypt --all
38 5 * * 2 /opt/pdadmin/bin/certbot-auto renew
drin ist und wenn nicht einfügen
-
SSLCipherSuite, SSLProtocol und co können im Template der httpd.conf angepasst werden.
-
SSLCipherSuite, SSLProtocol und co können im Template der httpd.conf angepasst werden.
Das Template finde ich wo?
-
Das Template finde ich wo?
Das kommt natürlich darauf an welche Apache Version verwendet wird.
Apache 2.2: /usr/local/pd-admin2/conf/
Apache 2.4: /usr/local/pd-admin2/httpd-2.4/conf/
Dort liegen die Templates. Ließe sich übrigens auch mit einem einfachen "find" finden
-
Mit den aktuellen Versionen von pd-admin (4.21+) und der Serverumgebung (0.236+):
Um pd-admin mit HTTPS zu schuetzen, speichern Sie Ihr SSL-Zertifikat unter /opt/pdadmin/sslcerts/$hostname-{key,cert,cacert}
$hostname ist dabei der pd-admin-Hostname, also die Ausgabe von /opt/pdadmin/bin/hostname.pl. Das Zertifikat muss natürlich auch auf diesen Hostnamen ausgestellt sein.Danach fuehren Sie das Skript /opt/pdadmin/bin/httpd_vhosts.pl aus.
Eine Frage Dazu: Ich möchte hierzu ein Zertifikat von lets encrypt benutzen. Wie erstelle ich dieses? Der Hostname lautet bei mir s1.DOMAIN.de
-
Einfach mit dem certbot ein Zertifikat mit "certonly" generieren. Anschließend die Dateien per symlink nach /opt/pdadmin/sslcerts/ verlinken und die httpd_vhosts.pl ausführen.
-
Einfach mit dem certbot ein Zertifikat mit "certonly" generieren. Anschließend die Dateien per symlink nach /opt/pdadmin/sslcerts/ verlinken und die httpd_vhosts.pl ausführen.
Danke