HomeBlogMagic

Zertifikate für Webpage

Webpages, wie auch diese hier können ihre Inhalte verschlüsselt zur Verfügung stellen. Ob das eine Seite unterstützt, kann getestet werden indem man in der Adress dass http durch https ersetzt. In der Adressleiste erscheint dann, je nach Browser, ein Verschlüsselungssymbol.
Abhängig vom verwendeten Zertifizierungsstelle wird das Symbol grün, für sichere Verbindungen, orange, für weniger sichere Seiten, und rot für potentiell gefährliche Seiten dargestellt.

Diese Farben, sagen aber nur etwas über die potentielle Sicherheit von fremden Seiten aus. Wenn man z.B. ein Zertifikat mit openssl erstellt und im Webserver installiert, dann ist die Seite zwar Verschlüsselt, aber das Zertifikat stammt aus Sicht des Browsers, aus einer nicht vertrauenswürdigen Quelle.

Wenn die Seite nur für einen selbst bestimmt ist, kann man damit leben, aber sollten Fremde auf die Seite zugriff nehmen, ist das ein Problem.

Certbot installieren

Die Installation erfolgt aus den PPA für certbot heraus.
Dazu muss diese erst noch den Paketequellen hinzugefügt werden:

sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-apache

Zertifikat generieren mit EFF

Für meine Webseite habe ich mich entschieden den Service von EFF zu nutzen.
Meine Webseite benutzt ein Zertifikat wie es hier beschrieben wird: Certbot

Zertifikat generieren

Zum generieren des Zertifikats muss nur der Certbot mit folgendem Befehl ausgeführt werden:

sudo certbot --apache certonly

Wie man aus dem Befehl erkennt, benutze ich den Apache mit einer eigenen Configuration.
Wer eine andere Kombination betreibt, findet auf der Seite von EEF viele Infos darüber.

Zertifikat erneuern

Die Zertifikate laufen alle 90 Tage ab und müssen erneuert werden. Dies kann händisch oder per cronjob erledigt werden. Dazu muss folgendes ausgeführt werden:

sudo certbot renew --pre-hook "service apache2 stop" --post-hook "service apache2 start"

Sowohl --pre-hook als auch --post-hook kann man auch entfernen wenn man den Webserver nicht automatisch neu starten möchte.

Permalink: https://adirmeier.de/Blog/ID_108
Tags: Blog, Apache, Webpagevon am 2017-05-08