Title: Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 09. May 2020, 20:06:57
Hallo ihr lieben vllt kann mir hier jemand helfen ich bekomme es einfach nicht hin. Ich besitze ein strato vserver mit ein cms drauf fürs Radio. Betriebssystem ist Ubuntu lte 14. Ich muss bis zum 20 irgendwo die Seite ssl verschlüsselt bekommen am besten ohne den Server plat machen zu müssen
Wer kann mir helfen
LG BO_Andy |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 05:53:44
Hallo Andy,
da gibt es sehr viele Möglichkeiten je nachdem was alles auf deinem Server läuft. Sind da mehrere Domains, verwaltet mit einem Serververwaltungstool (z.B. Froxlor) - oder ist da nur eine Domain drauf? Ich kann Dir in jedem Fall helfen, brauche aber mehr Infos dazu.
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 10. May 2020, 06:16:14
Guten Morgen thomas es ins nur einen Seite drauf Webbrowser ist der Apache2. Es liegt nur 1 Domain drauf des Verwaltungtool ist keins drauf wird alles über Putty gemach. Installiert ist das Wep-CMS dies hier habe ich schon gemacht Andreas
https://strato.de/blog/lets-encrypt-auf-server-einrichten-anleitung-fuer-kostenlose-ssl-zertifikate/
Hier mal die Seite um die es Geht
www.radio-life-for-music.com
LG BO_Andy |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 07:27:12
Dann ist das recht einfach machbar.
Zunächst brauchst Du ein von einer offiziellen Zertifizierungsstelle signiertes SSL-Zertifikat. Die bekommst Du kostenlos von "lets encrypt". Da diese Zertifikate eine recht kurze Lebensdauer haben (3 Monate) müssen sie regelmässig erneuert werden. Ich würde das nicht "per Hand" machen, sondern automatisch erledigen lassen. Immer wenn das Zertifikat sich seinem Lebensende nähert wird automatisch ein neues angefordert und eingespielt - so mache ich das bei mir auch. Allerdings laufen bei mir mehr als 80 Domains und etliche Subdomains - alle mit eigenem Zertifikat. Denn Du brauchst für jede Domain ein eigenes Zertifikat.
Hier findest Du eine recht gute Anleitung (https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-18-04) - allerdings für Ubuntu 20.04. Vielleicht passt da ja auch was für deine Version.
Wenn Du das erledigt hast und der Apache ohne Fehlermeldung startet musst Du noch Port 443 nach Außen freigeben. Nutzt Du UF? Dann ist der Befehl ufw allow 443/tcp.
Übrigens werde ich Ende nächster Woche mein Debian von meinem Server runterschmeissen und Arch Linux dafür nehmen. Warum? Diese ewigen Versionssprünge bei Debian, Ubuntu und Konsorten sind mir echt ein Dorn im Auge. Ich möchte eine Distribution die "kein Ablaufdatum" hat. Die fortwährend gepflegt wird. Ständig Updates, aber niemals ein Versionswechsel mit jede Menge händischer Eingriffe. Ich werde das noch im Forum ankündigen.
Nun aber zurück zu deinem Problem: Arbeite Dich erstmal durch die Seite durch und schau ob das bei deiner Version auch noch passt.
Und frag weiter, wenn Du hakenbleibst.
EDIT:
Ich dem Link den Du mir geschickt hast steht auch alles drin was Du machen musst. Ich befürchte Du musst mir ganz genau erklären was Du schon gemacht hast (jeden einzelnen Schritt schreiben) und dann dazu was danach funktioniert hat bzw. was nicht. Die Anleitung aus deinem Link ist richtig.
EDITEDIT:
Es kann sein dass Du gerade an dem Problem der Versionssprünge, von dem ich Dir geschrieben habe, scheiterst. Dein Ubuntu 14 ist zu alt - damals gab es die Pakete für lets encrypt noch nicht oder sie waren in einem frühen Betastadium. Der in den Links aufgeführte Weg muss also nicht zum Erfolg führen. Um bei Ubuntu, Debian & Co. immer die neueste Software zur Verfügung zu haben musst Du alle paar Monate (Ubuntu) oder alle 2 Jahre (Debian) "die neueste Version" aufspielen. Du bekommst bei den LTS-Versionen Sicherheitsupdates - aber keine neuen Versionen deiner Pakete. Da lets encrypt erst 2015 so richtig begonnen hat loszulegen dürften in der 14er Version noch nicht die "richtigen" Pakete drin sein. Ich kann mir aber vorstellen dass das auch schon einer gelöst hat - mit Paketen aus irgendeinem ppa.
Wir müssen Schritt für Schritt vorgehen - geht nicht anders.
EDITEDITEDIT:
Lass uns nach dieser Anleitung (https://strato.de/blog/wp-content/uploads/2016/04/strato-anleitung-lets-encrypt-auf-server-installieren.pdf) vorgehen. Dann können wir uns über die nummerierten Punkte abstimmen.
Hast Du bis Punkt 3.4 irgendwelche Probleme gehabt / ist irgendwas nicht so gelaufen wie es da steht?
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 10. May 2020, 08:16:41
| Andras es gab keinen Problem die seit lässt sich auch nur noch so wie es sein soll über Https aufrufen so wie es sein sollte. Gehe ich in denn admin berreixh habe ich auch das Schloss drin |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 10. May 2020, 08:18:03
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 08:27:13
| So geht das nicht - Du brauchst sowas hier: |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 10. May 2020, 08:32:38
| Thomas das hatte ich ja auch über Putty gemacht |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 08:36:49
Andreas...
...und auf der Konsole müssen wir auch bleiben..
Was zeigt Dir ein
apachectl -S
? |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 08:40:13
| Wo ist denn dein Problem? Die Seite ist doch schon SSL gesichert? |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 10. May 2020, 08:51:41
Das zeigt er mir an Andreas
VirtualHost configuration:
*:443 radio-life-for-music.com (/etc/apache2/sites-enabled/000-default-le-ssl.conf:2)
*:80 h2503590.stratoserver.net (/etc/apache2/sites-enabled/000-default.conf:1)
ServerRoot: "/etc/apache2"
Main DocumentRoot: "/var/www"
Main ErrorLog: "/var/log/apache2/error.log"
Mutex ssl-cache: using_defaults
Mutex default: dir="/var/lock/apache2" mechanism=fcntl
Mutex mpm-accept: using_defaults
Mutex watchdog-callback: using_defaults
Mutex rewrite-map: using_defaults
Mutex ssl-stapling: using_defaults
PidFile: "/var/run/apache2/apache2.pid"
Define: DUMP_VHOSTS
Define: DUMP_RUN_CFG
User: name="www-data" id=33
Group: name="www-data" id=33
Es fehlt das schloss oben in der leiste ich habe eine abmahnug geschrieben bekommen
LG BO_Andy |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 09:07:09
Gib mal in der Adressleiste die VOLLE ADRESSE (also mit https:// vorne) an und schau ob es dann klappt. Bei mir wird defaultmäßig https genommen, daher ist bei mir das Schloss da. Ich denke, dein Server bietet nach wie vor auch einen Aufruf via http:// an - zusätzlich zu https. Mit einem schlechten Browser landet man da auf http. Wenn das das einzige Problem ist musst Dur nur eine Umlenkung von http auf https schreiben - würde ich Dir erklären wenn das dein Problem ist.
EDIT:
Habe gerade mal mit verschiedenen Browsern probiert: auch die Umlenkung auf https:// funktioniert einwandfrei.
Das Problem liegt auf deinem PC, mit dem Du die Seite aufrufst.
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 10. May 2020, 10:05:01
Okay Andreas und wie bekomme ich das grüne Schloss hin du sagte was von default. Des weiteren würde ich gerne die strato Webseite nicht mehr aufrufbar machen wollen. Und die certifikart Verlängerung so wie du es hast das er es selber holt alle 3 monate
LG BO_Andy |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 10:23:11
Hallo Andy,
das Schloss kommt selbst - wenn dein Browser mit dem Du Seite aufrufst nicht irgendwas aus irgendeinem Cache holt.
Allerdings gibt es je nach Browser GROSSE Unterschiede in der Auslegung, wie man "sicher" definiert.
Richtig wäre wenn die Seite vom Browser als "sicher" eingestuft wird wenn:
- die Seite selbst nur via https:// erreichbar ist
- auch alle Links auf deinen eigenen Server nur via https:// erreichbar sind
- alle eingebetteten entfernten Elemente (Bilder etc.) ebenfalls nur via https:// erreichbar sind
- das Zertifikat gültig ist
Es gibt aber Browser die meckern bereits wenn ein LINK zu einer mit http:// beginnenden Seite gesetzt ist - völliger Schwachsinn meiner Meinung nach.
Alles was ich oben geschrieben habe trifft auf deine Seite zu.
Mit was für einem Browser arbeitest Du? Ich empfehle den Brave-Browser. Der basiert auf dem Chromium (und der basiert auf dem google-Chrome), es sind aber alle Trackingsachen ausgebaut und dafür etliche neue nützliche Features (wie z.B. eine Möglichkeit, Seiten via TOR aufzurufen) eingebaut. Mit Chr* basierten Browsern kann man übrigens ein Neuladen unter Auslassung des Caches erzwingen indem man die Seite mit SHIFT-F5 refresht.
Speziell Microsoft basierte Produkte sind in den letzten Wochen bei mir abermals um etliche Prozentpunkte im Ansehen abgestiegen (und das obwohl sie vorher auch schon sehr niedrig waren)... Microsoft führt für seine Mailserver eine eigene Sperrliste, deren Entstehung intransparent ist und die alle Mails auf Hotmail.com-, Live.com-, Outlook.com-, AOL.com- und Msn.com-Adressen "im Interesse der Kunden" speziell filtert. Die IP-Adresse meines Servers (auf der auch die amateurfunk-sulingen-Seiten liegen) ist mal wieder auf dieser Liste gelandet. Das bedeutet dass keine Mail von irgendeiner meiner Domains an eine der oben genannten Emailadressen zugestellt wird. Ansonsten steht mein Server seit Jahren auf keiner anderen (transparenten) Blockliste. Nur bei den Microsoft-basierten steht er aktuell mal wieder und hat es auch in der Vergangenheit öfter getan. Klar: man kann die IP entfernen lassen. Das kostet Mühe und dauert 3...10 Tage. Und keiner garantiert, dass man nicht nach einer Woche wieder auf der Liste steht. Meinen Unmut auslassend bei der M$ Stelle dafür ergab, dass ich gegen eine Zahlung meine IP-Adresse dauerhaft von der Sperrliste fernhalten kann. Die Summe ist jährlich zu entrichten und bewegt sich im größeren vierstelligen Bereich. Mein Reaktion darauf: Es ist mir egal ob Mails an diese Diffarmierungsadressen zugestellt werden oder nicht - der Empfänger hat für einen ordnungsgemäß funktionierenden Briefkasten zu sorgen wenn er Nachrichten erhalten will. Wer eine Adresse obiger Nennung hat tut das nicht und spielt "russisches Mail-Roulette" ::).
Vielleicht probierst Du auch mal den Brave-Browser aus und schreibst mir ob es damit klappt.
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 10. May 2020, 12:42:02
Okay danke erstmal andreas für die hilfe ich werde es auf jeden fall mal damit probieren. Es schein wohl irgendwo noch Bild drin zu sein die nicht über hhhps aufgerufen werden über Firefox habe ich zu mindesten das schloss mit gelben Ausrufezeichen
LG BO_Andy |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 12:53:35
Ja - der Firefox ist so ein Kandidat. Deswegen benutze ich ihn auch nicht mehr ::) Es ist nämlich auch gut möglich, dass das eingebettete Element nicht über https:// zu erreichen ist. Und dann? Vom Browser dazu zwingen lassen, das Element zu entfernen?
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 13:01:14
Ich finde auf der Startseite diese Elemente:
Dabei sind einige Verweise auf deine eigene Seite - aber mit IP anstelle URL - ein no-go. Die dreamies.de sind auch über https erreichbar - abr aus Kompatibilitätsgründen geht eben auch noch http. Das ist kein Problem. Aber das mit den IP-Adressen anstelle der URL solltest Du umgehend ändern und am Besten auch alle Seiten durchsuchen wo das evtl. nochmal auftauchen kann.
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 10. May 2020, 16:59:54
So Andreas ich habe es geschafft so wie es aussieht. Jetzt noch 2 Fragen ist es irgendwie möglich zu verweiger das er die HP über die IP Adresse anzeig? Und die 2 frage ist wie kann ich das Zertifikat automatisch verlängern nach denn 3 Monaten
LG und besten Dank BO_Andy |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 17:07:48
Wenn Du für die Domain einen eigenen virtuellen Server im Apachen eingerichtet hast ist das ganz einfach: dann landen Anfragen an die IP-Adresse in einem anderen Dokumentenverzeichnis als wenn sie über die Adresse aufgerufen werden. Hast Du keinen vhost dafür eingerichtet - müsstest Du das über mod_rewrite und .htaccess machen. Was bei Dir der richtige Weg ist richtet sich nach der Einrichtung.
Zu der Sache mit der automatischen Erneuerung lese ich mich demnächst nochmal durch die Ubuntu-Anleitung von Strato durch. Auch das ist nämlich "individuell". Aber da dein Zertifikat erst gestern erstellt wurde ist da kein Zeitdruck.
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 10. May 2020, 17:19:57
Nein Andreas leider habe ich vhost da ja auf denn Server nur diese eine Webseite laufen soll und nix anderes. Ich musste damals nur einen vserver nehmen da wir auch noch Temspeak und Soutcast brauchte und das hätte die kosten Gesprengt
Ich danke dir auf jeden Fall vielmals für die hilfe
Ich bin mal gespannt was wegen der Beschwerde der Fehlenden TLS auf mich noch zukommen wird
|
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 10. May 2020, 17:34:00
Ich glaube Du verwechselst da was. Ich rede von vhost beim Apachen. Der Apache bietet so die Möglichkeit beliebig (naja:nahezu) viele unterschiedliche Domains auf einem Server laufen zu lassen. Das kann man auf JEDEM System einrichten, wo man Zugriff auf die Apache-Konfigurationsdateien hat. Die entsprechenden Files liegen unter /etc/apache2/sites-enabled/
Du redest von einem vServer. Bei dem hast Du keine "echte alleinige Hardware" (sozusagen ein 19"-Rack das wenn man es rauszieht nur deine Seite verschwinden lässt.), sondern Du teilst Dir die Hardware mit vielen anderen.
Hast Du Zugriff via Kommandozeile auf die Dateien unter /etc/apache2/sites-enabled/ ? Dann kannst Du für deine Domain einen vhost einrichten und ins Standardverzeichnis des Servers (das was angezeigt wird wenn man die IP aufruft) kannst Du was anderes reinpacken.
Hier ein Beispiel einer vhost-Datei für den alten Apachen (die ssl-Variante. Man kann sogar bei Aufruf via http was anderes anzeigen lassen als via https):
Code:
<VirtualHost 86.107.18.32:443 [2907:4fd8:ab0:560a::2]:443>
ServerName hullewulle.de
ServerAlias www.hullewulle.de
ServerAdmin admin@hullewulle.de
SSLEngine On
SSLProtocol -ALL +TLSv1 +TLSv1.2
SSLHonorCipherOrder off
SSLCipherSuite ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH
SSLVerifyDepth 10
SSLCertificateFile /etc/apache2/ssl/hullewulle.de.crt
SSLCertificateKeyFile /etc/apache2/ssl/hullewulle.de.key
SSLCACertificateFile /etc/apache2/ssl/hullewulle.de_CA.pem
SSLCertificateChainFile /etc/apache2/ssl/hullewulle.de_chain.pem
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0"
</IfModule>
DocumentRoot "/var/kunden/htdocs/selbst/hullewulle/"
php_admin_value sendmail_path "/usr/sbin/sendmail -t -f admin@hullewulle.de"
Alias /webalizer "/var/kunden/htdocs/selbst/webalizer/hullewulle.de"
LogLevel warn
ErrorLog "/var/kunden/logs/selbst-hullewulle.de-error.log"
CustomLog "/var/kunden/logs/selbst-hullewulle.de-access.log" combined
</VirtualHost>
|
|
|
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 10. May 2020, 17:46:28
Ja Andreas ich habe Zugriff auf alles über Kommandozeile
LG BO_Andy |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 11. May 2020, 03:51:01
Poste mal bitte was für Dateien in deiner /etc/apache2/sites-enabled sind.
fehlendes SSL (https://www.heise.de/newsticker/meldung/DSGVO-8500-Euro-Schadensersatz-fuer-fehlende-SSL-Schluesselung-Die-Hintergruende-4094585.html) ist auf jeden Fall nicht gut, wenn man auf seinen Seiten Formulare hat, in die Nutzer persönliche Daten eingeben können. Das gleiche gilt übrigens für den Mailtransport. Auch hier ist TLS Stand der Technik - ich habe meinen Server 2010 auf die zwingende Nutzung von TLS für den Mailversand und Abruf umgestellt. Solltest Du auch einen Mailserver betreiben (Emailadresse auf deinem Server) wäre jetzt der richtige Zeitpunkt auch das in Angriff zu nehmen. Inwieweit allerdings Summen durchsetzbar sind ist fraglich. Da müsste man sich richtig durchwühlen durch die Infos des Webs. Genug Infos gibt es da bestimmt. Vielleicht sogar schon Urteile - auch welche mit Grundsatzcharakter.
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 11. May 2020, 09:27:41
Andreas die ist bei mir leer warum auch immer. Es läuft auch kein Email Server drauf
Die Datei ist zwar da aber wenn ich sie mit nano öffne steht nix drin
LG BO_Andy
|
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 11. May 2020, 12:35:05
Das ist ein PFAD (also Ordner). Und in dem Ordner liegen die ganzen vhosts (also Einstellungen pro Domain). Sollte das bei Dir leer sein, dann ich das eine der "ich-kann-billiger-Vorinstallationen" großer Provider ::). Dann müssen wir dran schrauben. Also erstmal nachschauen, ob in dem Ordner sites-enabled Dateien (oder Symlinks auf Dateien) sind.
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 11. May 2020, 21:16:07
ich depp Andrers diese datein befinden sich in denn ordner
000-default.conf 000-default-le-ssl.conf
|
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 12. May 2020, 05:57:33
Achso da du gestern sagtest fragte wegen Email server das cms System versende selber Email zbs bei Formularen Eingang und bei Bewerbungen oder halt wenn jemand sein passwort vergessen hat
LG BO_Andy |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 12. May 2020, 06:48:19
Das ist nicht kritisch - da sich ja niemand "unverschlüsselt" an deinem System anmelden muss. Es gibt keinen Mailtransportweg vom Nutzer zum Server, und auch ein Abruf von Mails von deinem Server findet nicht statt.
Zu deiner PM schreibe ich später mehr - gut, dass Du das per PM gemacht hast. Da sind Daten drin die nicht jeder lesen können sollte.
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 12. May 2020, 07:56:50
Danke Andreas das du dir die Zeit nimmst mir weiter zu helfen. Ich verdien ja kein Geld mit dem Radio ehr in Gegenteil es kostet mich monatlich Geld ist halt ein Hobby. Ich will eigentlich nur noch das die Seite nicht mehr über die IP Adresse aufrufbar ist und genauso wenig über dies komische strato Domain
LG und viel vielen lieben dank |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: DF8OE on 12. May 2020, 08:52:53
Ich weiß (das alles). Das ändern wir in den nächsten Tagen - auf jeden Fall bis Freitag. Da stelle ich nämlich per Fernzugriff (ssh) meinen Server um und das dürfte eine (mindestens) abendfüllende Beschäftigung sein ;D
vy 73
Andreas |
Title: Re:Ich brauche dringend Hilfe Zwecks TLS verschlüsselung meines Vserver
Post by: BO_Andy on 12. May 2020, 09:03:54
| Super Andreas zu mindestens ist erstmal die Seite auf ssl umgestellt |
Diskussions- und Newsboard des DARC-Ortsverbandes I40 | Powered by YaBB SE
© 2001-2003, YaBB SE Dev Team. All Rights Reserved.
|