TLS mit Let's Encrypt Zertifikat: Unterschied zwischen den Versionen
K (Let's Encrypt ohne Anführungszeichen, an WP orientiert , die machen das auch so) |
|||
Zeile 3: | Zeile 3: | ||
{{Textkasten|rot|Achtung:|Das Feature wird bei Hostsharing im Juli 2017 aktiviert.}} | {{Textkasten|rot|Achtung:|Das Feature wird bei Hostsharing im Juli 2017 aktiviert.}} | ||
'''Let's Encrypt''' ("Laßt uns verschlüsselt") ist eine Zertifizierungsstelle für X509 TLS-Zertifikate. Über eine standardisierte Programmierschnittstelle lassen sich bei | '''Let's Encrypt''' ("Laßt uns verschlüsselt") ist eine Zertifizierungsstelle für X509 TLS-Zertifikate. Über eine standardisierte Programmierschnittstelle lassen sich bei Let's Encrypt sogenannte Domain-validierte Zertifikate automatisiert | ||
ausstellen und verlängern. Weitere Informationen zu | ausstellen und verlängern. Weitere Informationen zu Let's Encrypt finden sich in der [https://de.wikipedia.org/wiki/Let%E2%80%99s_Encrypt Wikipedia (dt.)] | ||
== Let's Encrypt bei Hostsharing == | == Let's Encrypt bei Hostsharing == | ||
Nutzer der Hostsharing-Plattform können TLS mit einem TLS-Zertifikat von | Nutzer der Hostsharing-Plattform können TLS mit einem TLS-Zertifikat von Let's Encrypt ohne weiteres Zutun nutzen: | ||
Beim Einrichten einer neuen Domain auf der Hostsharing-Plattform wird automatisch ein TLS Zertifikat erzeugt, das | Beim Einrichten einer neuen Domain auf der Hostsharing-Plattform wird automatisch ein TLS Zertifikat erzeugt, das | ||
Zeile 15: | Zeile 15: | ||
=== Weitere Subdomains === | === Weitere Subdomains === | ||
Viele Hostsharing-Nutzer kennen [[leichtgewichtige Subdomain|leichtgewichtige Subdomains]], die sich nur durch das Anlegen eines weiteren Verzeichnisses im Domain-Verzeichnis ~/doms/example.com/subs/ nutzen lassen. Dieses Feature ist mit | Viele Hostsharing-Nutzer kennen [[leichtgewichtige Subdomain|leichtgewichtige Subdomains]], die sich nur durch das Anlegen eines weiteren Verzeichnisses im Domain-Verzeichnis ~/doms/example.com/subs/ nutzen lassen. Dieses Feature ist mit Let's Encrypt-Zertifikaten | ||
nicht möglich, denn die Zertifizierungsstelle stellt keine sogenannten Wildcard-Zertifikate aus. Im Zertifikat muss deshalb jede Subdomain explizit angegeben sein und nur [[Aufschaltung|aufgeschaltete Subdomains]] können mit einem solchen Zertifikat abgesichert werden. | nicht möglich, denn die Zertifizierungsstelle stellt keine sogenannten Wildcard-Zertifikate aus. Im Zertifikat muss deshalb jede Subdomain explizit angegeben sein und nur [[Aufschaltung|aufgeschaltete Subdomains]] können mit einem solchen Zertifikat abgesichert werden. | ||
Zeile 26: | Zeile 26: | ||
Im Feld "valid subdomain names" kann auch "*" für beliebige Subdomains eingegeben werden. Damit erreichen erfahrene | Im Feld "valid subdomain names" kann auch "*" für beliebige Subdomains eingegeben werden. Damit erreichen erfahrene | ||
Hostsharing-Nutzer das alte Verhalten leichtgewichtiger Subdomains durch das Anlegen eines Unterverzeichnisses. Dies | Hostsharing-Nutzer das alte Verhalten leichtgewichtiger Subdomains durch das Anlegen eines Unterverzeichnisses. Dies | ||
ist jedoch nicht in Kombination mit Zertifikaten von | ist jedoch nicht in Kombination mit Zertifikaten von Let's Encrypt möglich. Die Domain-Option "letsencrypt" muss dann deaktiviert | ||
werden. Für HTTP mit TLS-Verschlüsselung muss dann ein kostenpflichtiges Wildcard-Zertifikat einer anderen Zertifizierungsstelle | werden. Für HTTP mit TLS-Verschlüsselung muss dann ein kostenpflichtiges Wildcard-Zertifikat einer anderen Zertifizierungsstelle | ||
installiert werden. Dabei unterstützt der [[Hostsharing Service]]. | installiert werden. Dabei unterstützt der [[Hostsharing Service]]. | ||
Zeile 36: | Zeile 36: | ||
erhalten bleibt. Demzufolge ist die Domain-Option "letsencrypt" deaktiviert. | erhalten bleibt. Demzufolge ist die Domain-Option "letsencrypt" deaktiviert. | ||
Wenn für eine solche Domain | Wenn für eine solche Domain Let's Encrypt-Zertifikate von Hostsharing automatisch ausgestellt werden sollen, sind | ||
mit den Rechten des Paket-Administrators (also zum Beispiel dem User "xyz00") an der Domain zwei Änderungen vorzunehmen: | mit den Rechten des Paket-Administrators (also zum Beispiel dem User "xyz00") an der Domain zwei Änderungen vorzunehmen: | ||
Zeile 43: | Zeile 43: | ||
2. Die Domain-Option "letsencrypt" wird aktiviert. | 2. Die Domain-Option "letsencrypt" wird aktiviert. | ||
In der Regel steht nach wenigen Minuten ein | In der Regel steht nach wenigen Minuten ein Let's Encrypt-Zertifikat für die Domain zur Verfügung. | ||
=== Monitoring von TLS-Zertifikaten === | === Monitoring von TLS-Zertifikaten === | ||
TLS-Zertifikate von | TLS-Zertifikate von Let's Encrypt gelten jeweils nur für 90 Tage. Nach Ablauf von 60 Tagen sollten die Zertifikate | ||
erneuert werden. Dieser Prozess ist automatisiert. | erneuert werden. Dieser Prozess ist automatisiert. | ||
Damit Probleme bei der Erneuerung von Zertifikaten nicht unbemerkt bleiben, haben wir ein Monitoring der | Damit Probleme bei der Erneuerung von Zertifikaten nicht unbemerkt bleiben, haben wir ein Monitoring der | ||
Zertifikat-Restlaufzeiten eingerichtet. Im Falle von automatisch erstellten | Zertifikat-Restlaufzeiten eingerichtet. Im Falle von automatisch erstellten Let's Encrypt-Zertifikaten kümmern | ||
sich die Hostmaster um Problemfälle. Sie informieren das Mitglied, wenn der Paket- oder Domain-Administrator das | sich die Hostmaster um Problemfälle. Sie informieren das Mitglied, wenn der Paket- oder Domain-Administrator das | ||
Problem durch eine Konfiguration verursacht hat. | Problem durch eine Konfiguration verursacht hat. |
Version vom 29. Juni 2017, 19:36 Uhr
Diese Seite muss überarbeitet werden
Diese Seite wurde als Baustelle gekennzeichnet, weil sie überarbeitet werden muss. Eine Begründung dafür findest du auf der Diskussionsseite. Bitte hilf mit, diese Seite zu verbessern!Achtung:
Das Feature wird bei Hostsharing im Juli 2017 aktiviert.
Let's Encrypt ("Laßt uns verschlüsselt") ist eine Zertifizierungsstelle für X509 TLS-Zertifikate. Über eine standardisierte Programmierschnittstelle lassen sich bei Let's Encrypt sogenannte Domain-validierte Zertifikate automatisiert
ausstellen und verlängern. Weitere Informationen zu Let's Encrypt finden sich in der Wikipedia (dt.)
Let's Encrypt bei Hostsharing
Nutzer der Hostsharing-Plattform können TLS mit einem TLS-Zertifikat von Let's Encrypt ohne weiteres Zutun nutzen:
Beim Einrichten einer neuen Domain auf der Hostsharing-Plattform wird automatisch ein TLS Zertifikat erzeugt, das für die Hauptdomain und für die www-Subdomain zu dieser Hauptdomain gültig ist, also zum Beispiel für "beispiel.de" und "www.beispiel.de". Dazu muss der Domain-Inhaber nichts weiter tun.
Weitere Subdomains
Viele Hostsharing-Nutzer kennen leichtgewichtige Subdomains, die sich nur durch das Anlegen eines weiteren Verzeichnisses im Domain-Verzeichnis ~/doms/example.com/subs/ nutzen lassen. Dieses Feature ist mit Let's Encrypt-Zertifikaten nicht möglich, denn die Zertifizierungsstelle stellt keine sogenannten Wildcard-Zertifikate aus. Im Zertifikat muss deshalb jede Subdomain explizit angegeben sein und nur aufgeschaltete Subdomains können mit einem solchen Zertifikat abgesichert werden.
Aus diesem Grund ist in unserer Administrations-Anwendung HSAdmin ein Feld "valid subdomain names" eingeführt worden. Hier wird eine Liste aller Subdomains angegeben, die für diese Domain genutzt werden sollen (in diesem Apache VHost). Die Angabe erfolgt als Komma-separierte Liste der Form "www,blog,aktion", wenn neben der Haupdomain "beispiel.de" die Subdomains "www.beispiel.de", "blog.beispiel.de" und "aktion.beispiel.de" gültig sein sollen.
Wildcard Zertifikate nicht mit Let's Enrypt
Im Feld "valid subdomain names" kann auch "*" für beliebige Subdomains eingegeben werden. Damit erreichen erfahrene Hostsharing-Nutzer das alte Verhalten leichtgewichtiger Subdomains durch das Anlegen eines Unterverzeichnisses. Dies ist jedoch nicht in Kombination mit Zertifikaten von Let's Encrypt möglich. Die Domain-Option "letsencrypt" muss dann deaktiviert werden. Für HTTP mit TLS-Verschlüsselung muss dann ein kostenpflichtiges Wildcard-Zertifikat einer anderen Zertifizierungsstelle installiert werden. Dabei unterstützt der Hostsharing Service.
Migration vorhandener Domains
Domains, die zum Zeitpunkt der Umstellung bereits bei Hostsharing eingerichtet sind, werden wie folgt behandelt: Im Feld "valid subdomain names" ist der Stern "*" eingetragen, damit das bekannte Verhalten für leichtgewichtige Subdomains erhalten bleibt. Demzufolge ist die Domain-Option "letsencrypt" deaktiviert.
Wenn für eine solche Domain Let's Encrypt-Zertifikate von Hostsharing automatisch ausgestellt werden sollen, sind mit den Rechten des Paket-Administrators (also zum Beispiel dem User "xyz00") an der Domain zwei Änderungen vorzunehmen:
1. Im Feld "valid subdomain names" müssen alle genutzten Subdomains explizit angegeben werden. Die Liste kann auch leer sein.
2. Die Domain-Option "letsencrypt" wird aktiviert.
In der Regel steht nach wenigen Minuten ein Let's Encrypt-Zertifikat für die Domain zur Verfügung.
Monitoring von TLS-Zertifikaten
TLS-Zertifikate von Let's Encrypt gelten jeweils nur für 90 Tage. Nach Ablauf von 60 Tagen sollten die Zertifikate erneuert werden. Dieser Prozess ist automatisiert.
Damit Probleme bei der Erneuerung von Zertifikaten nicht unbemerkt bleiben, haben wir ein Monitoring der Zertifikat-Restlaufzeiten eingerichtet. Im Falle von automatisch erstellten Let's Encrypt-Zertifikaten kümmern sich die Hostmaster um Problemfälle. Sie informieren das Mitglied, wenn der Paket- oder Domain-Administrator das Problem durch eine Konfiguration verursacht hat.
Das Monitoring ist gleichzeitig eine neue Funktion für alle Zertifikate, die Mitglieder uns zur Installation bereitgestellt haben: Der Paket-Administrator wird ca. 3 Wochen vor Ablauf eines Zertifikates informiert. Dazu bitte ggf. ein E-Mail Alias für den Paket-User (Beispiel: "xyz00") einrichten, damit die E-Mail mit der Warnung den richtigen Adressaten erreicht.