• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Apache2 mit SSL konfigurieren

Status
Für weitere Antworten geschlossen.
E

Efchen

Guest
Moin,

ich habe einen Apache2, auf dem ein Bugzilla laufen soll, allerdings nur verschlüsselt.
Ich habe noch nie SSL konfiguriert und weiß gar nicht, wo ich anfangen soll.

Kann mich da jemand in die richtige Richtung lenken?

Ist es mit einer kurzen, einfachen Konfiguration des Apache getan?

Was hat es mit den Zertifikaten genau auf sich?

Besten Dank im Voraus!
-Efchen

Nachtrag:
1. Zertifikat erstellen. Siehe z.B. https://www.schirmacher.de/display/INFO/Apache+SSL+Zertifikat+erstellen+und+installieren
2. Offizielles Zertifikat bestellen. Z.B. bei auf in o.g. URL verlinktem Anbieter (gibts da bessere? Was genau brauche ich?)
3. Apache konfigurieren. Siehe SSL/TLS Strong Encryption: How-To - Apache HTTP Server (vermutlich nur ein paar Direktiven).

Liege ich da richtig?

Nur zu Zertifikaten hätte ich gern mehr gewusst. Um eine SSL-Site zu betreiben, brauche ich das kostenpflichtige Zertifikat? Ein self-signed verursacht offensichtlich eine Meldung im Browser, ist also für eine Firma mit Bugzilla nicht zu empfehlen.

Was muss ich sonst noch wissen?

Computerlogbuch, zweiter Nachtrag:
Ich habe erstmal ein self-signed certificate erzeugt. Die SSL-Verbindung klappt soweit. Apache war kooperativ. Nur eine Sache interessiert mich noch:
Jetzt sind alle Seiten auf dem Server nur per https:// zu erreichen. Kann ich SSL nur für bestimmte Verzeichnisse aktivieren? Mit der <Directory>-Direktive geht es nicht, das habe ich schon probiert.
Ich hätte aber gern sowas wie webhosting24 - Login und https://server/bugzilla
Ist das möglich?

Computerlogbuch Nr. 1 der U.S.S. HTML.DE, Nachtrag drei:
Im Nachbarthread gibts schon 26 Antworten, und man stellt gerade fest, dass der Fragesteller eigentlich gar nicht weiß, was er will. Dafür ist hier tote Hose und alle geben vor, nichts zu wissen. Lebe ich hier vielleicht in einer Raum-Zeit-Verzerrung und keiner nimmt mich wahr? Oder die Zeit läuft für mich schneller ab und die anderen hier nehmen nur ein Summen wahr...
 
Zuletzt bearbeitet von einem Moderator:
Werbung:
SSL-Zertifikate sind ein komplexes Thema in das man sich erst reinarbeiten muss. Ich habe schon öfter damit herumgespielt und habe auch eine SSL-Webseite online gestellt die per Clientzertifikat geschützt wird. Komplexes Thema wie gesagt 8)

Ist es mit einer kurzen, einfachen Konfiguration des Apache getan?

Der Apache2 kann in einer Instanz sowohl Verbindungen über Port 80 als auch über 443 verarbeiten. Man muss nur die jeweiligen Hosts entsprechend konfigurieren, d.h. ein Host für http (Port 80) und einer für https (Port 443). Außerdem ist zu Beachten, dass auf einer IP auf der ein SSL-Zertifikat läuft keine HTTP-Verbindung eingerichtet werden kann. D.h. man braucht um auf einem Server sowohl HTTP als auch HTTPS zu betreiben 2 unterschiedliche IPs am Server und ggfs. dann auch 2 verschiedene Domainnamen.

Was hat es mit den Zertifikaten genau auf sich?

Sollte man vorher wissen ;-) Grundsätzlich dienen sie der Verschlüsselung von Verbindungen. Je höher die Verschlüsselung desto geringer die Wahrscheinlichkeit, dass es jemand knacken und mitlauschen kann. Unverschlüsselte Verbindungen können sehr leicht abgehört werden, daher verwenden z.B. Shops für die Übertraugn von Bankdaten SSL. Man kann aber durchaus viel mehr damit machen. Z.B. benutzerspezifische Verbindungen herstellen.

Um eine SSL-Site zu betreiben, brauche ich das kostenpflichtige Zertifikat?

Ja, in jedem Fall. Man muss mit jährlichen Kosten ab 100 Euro rechnen.

Ein self-signed verursacht offensichtlich eine Meldung im Browser

Genau. Bei einem selbstsignierten Zertifikat kann kein Browser das Zertifikat verifizieren, daher wird es als unsicher angesehen.

Kann ich SSL nur für bestimmte Verzeichnisse aktivieren? ...
Ich hätte aber gern sowas wie webhosting24 - Login und https://server/bugzilla
Ist das möglich?

Nein. Du müsstest die HTTPS-Verbindung in der Apache-Konfiguration auf das andere Verzeichnis verweisen lassen, mit einem Unterverzeichnis in der Adresszeile geht das nicht.

Im Nachbarthread gibts schon 26 Antworten,

Crossposting? ;ugl
 
SSL-Zertifikate sind ein komplexes Thema in das man sich erst reinarbeiten muss.
Wie wahr...ich glaube aber mittlerweile wird mir einiges klarer.

Der Apache2 kann in einer Instanz sowohl Verbindungen über Port 80 als auch über 443 verarbeiten. man braucht um auf einem Server sowohl HTTP als auch HTTPS zu betreiben 2 unterschiedliche IPs am Server und ggfs. dann auch 2 verschiedene Domainnamen.
Okay, klare und verständliche Worte. So, wie ich mir das vorstellte, gings also nicht. Ist aber auch nicht schlimm.

Sollte man vorher wissen ;-)
Ja, ich hab einfach mal blauäugig Fragen ins Forum geschmissen und erst dann angefangen, mir die Thematik selber beizubringen. :-)

Ja, in jedem Fall. Man muss mit jährlichen Kosten ab 100 Euro rechnen.
In einem Link auf der von mir verlinkten Seite (https://www.psw.net/ssl.cfm, soll keine Werbung sein, dient nur zum Verständnis) ist eine Preisliste, wo die Preise bei 15 EUR beginnen. Das ist dann ein Zertifikat, wo nur die Domain, nicht die Identität geprüft wird, die Überprüfung nur anhand eines EMail-Robots erfolgt, usw.

Für einige der dort angegebenen Features kann ich mir schon selber zusammenreimen, was für welchen Personenkreis wie Sicherheit erzeugt, z.B. erweckt die Identitätszertifizierung sicher mehr Vertrauen, als die Domainzertifizierung. Ob es da wirklich ein TrustLogo sein muss, oder ein SiteSeal reicht, ist die Frage. Und dass eine Identitätsprüfung per Telefon und über Dokumente natürlich auch sicherer ist, als ein EMail-Robot ist auch logisch.

Stelle ich doch mal die konkrete Frage in den Raum: Bugzilla-System für eine Firma, deren Kunden Banken und Sparkassen sind: Welche Lösung der dort angebotenten wäre zu favorisieren?

Dem Anwender wird es wahrscheinlich egal sein :-) aber die Revision der Banken würde sicher lieber eines der Zertifikate auf der rechten Seite sehen.

Was meinst Du/meint Ihr?

Danke für Deine Antwort.
 
Werbung:
Auf https://www.psw.net/ssl.cfm steht ja auch wofür die Zertifikate jeweils geeignet sind. Das 15 Euro-Ding ist extrem beschränkt: es sollte nur für Administrationsbereich (Plesk, Confix ..) genutzt werden. So gesehen hat es keine richtige Sicherheit und kann außerdem nur auf einer festen Adresse genutzt werden (Domain.de - Das Portal rund um Domains aber bei domain.de geht es nicht).

In deinem Fall solltest du auf ein Zertifikat mit Wildcard-Option zurückgreifen, eines was in dieser Tabelle für "normaler Shop" oder "großer Shop" empfohlen wird. Banken oder Sparkassen als Kunden legen enormen Wert auf Sicherheit, da solltest Du kein "billiges" Zertifikat nehmen.

Btw. ist der ausstellende CA ebenfalls interessant. Bei Comodo habe ich inzwischen die Erfahrung gemacht, dass sie relativ schnell ein Zertifikat ausstellen (mitunter nur in wenigen Tagen). Bei anderen hat es auch schonmal 1 bis 3 Wochen gedauert - das Resultat ist aber letztlich das selbe: ein gültiges Zertifikat welches von allen aktuellen Browsern akzeptiert wird.
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben