Einrichtung eines SSL Zertifikats

Geändert am Tue, 10 Jan 2023 um 01:14 PM


Sie benötigen Zugriff per SSH auf den Server um die folgenden Schritte durchzuführen. 
Dies ist eine Anleitung für die Kunden IT

 


Dieser Teil ist für die erstmalige Einrichtung eines SSL Zertifikats. Wenn Sie Ihr Zertifikat erneuern möchten, scrollen Sie bitte zu dem zweiten Teil der Anleitung. 


Bitte ersetzen Sie die rot markierten Teile mit Ihren Daten. 


Erstellung eines Certificate Signing Request (CSR)


1. Erstellung eines private Key

cd /etc/ssl/private
openssl genrsa -out fqdn.key.pem 2048

Bitte ersetzen Sie den rot markierten Teil mit der fqdn Ihres Q.wikis. Beispielsweise: qwiki.Kundeabc


2. Anlegen des CSR

vim fqdn.csr.conf

In diese Datei folgendes einfügen (bitte ändern Sie die rot markierten Stellen mit Ihren Daten ab):

[req] distinguished_name = req_distinguished_name 
req_extensions = v3_req 
prompt = no 
[req_distinguished_name] 
C = DE 
ST = NRW 
L = AACHEN 
O = Modell Aachen GmbH
OU = IT-Services
CN = QWIKIFQDN
emailAddress = technischerAP@kunde.de 
[v3_req] 
keyUsage = keyEncipherment, dataEncipherment 
extendedKeyUsage = serverAuth 
subjectAltName = @alt_names 
[alt_names] 
DNS.1 = qwiki.kundeabc.de 
DNS.2 = hostname.kundeabc.de

Nach dem Speichern kann der CSR mit folgenden Befehl erstellt werden: 


openssl req -new -out fqdn.csr -key fqdn.key.pem -config fqdn.csr.conf

Durch den Befehl wird eine Datei fqdn.csr im aktuellen Verzeichnis erstellen. 



Einrichten oder aktualisieren eines SSL Zertifikats


1. Zertifikat und eventuell Key auf den Server kopieren. Daten nach /etc/ssl/private ablegen. Alle weiteren Schritte, sofern nicht anders angegeben, werden in diesem Verzeichnis durchgeführt. 

2. Format prüfen. 

Es wird ein RSA Key (ohne Passwort - falls Passwort vorhanden sehen Sie Schritt 3), sowie ein base64 kordiertes Zertifikat benötigt. DER und PKCS#12 müssen konvertiert werden. 


DER konvertieren

openssl x509 -inform der -in fqdn.xyz -out fqdn.cert.pem 

PKCS#12 konvertieren

Private Key extrahieren

openssl pkcs12 -in fqdn.pfx -nocerts -nodes -out fqdn.key.pem 

Zertifikat extrahieren

openssl pkcs12 -in fqdn.pfx -clcerts -nokeys -out fqdn.cert.pem


3. Private Key überprüfen

openssl rsa -noout -in fqdn.key.pem

Sollte eine Passwortabfrage kommen, muss diese entfernt werden, da das Passwort ansonsten bei jedem Webserver Neustart manuell eingegeben werden muss. 


4. Dateiberechtigung anpassen

chown root:root fqdn.* 
chmod 0600 fqdn.*

Sollten Sie nur eine Aktualisierung des Zertifikats vorgenommen haben, können Sie zu Punkt 7 springen. 


5. Bearbeitung der nginx Konfiguration. (nur bei Ersteinrichtung von SSL nötig, oder wenn die Dateinamen des Zertifikats verändert wurden) 

vim /etc/nginx/sites-enabled/qwiki_http.conf


Die vorhandene Konfiguration muss gelöscht werden und mit folgender angepasster Konfiguration ersetzt werden. 

server {
    listen 80 default_server;
    listen [::]:80 default_server;


    server_name qwiki_http;
    rewrite ^/(.*)$ https://qwiki.acme.loacal/$1 permanent;
}


server {
    listen 443 default_server ssl;
    listen [::]:443 default_server ssl;


    server_name qwiki_https;


    root /var/www/qwikis/core;


    ssl_certificate /etc/ssl/private/CERT;
    ssl_certificate_key /etc/ssl/private/KEY;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;




    location ~ (/pub/System|/robots.txt) {
    sendfile on;
    tcp_nopush on;
    expires 7d;
    add_header Cache-Control "public, no-transform";
}


location / {
    proxy_http_version 1.1;


    proxy_set_header Host $host;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Scheme $scheme;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-Host $host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;


proxy_pass http://qwiki;
}


}

6. Anpassung der Q.wiki Konfigurationsdatei (nur bei Ersteinrichtung von SSL nötig)

vim /var/www/qwiki/core/lib/LocalSite.cfg

In dieser Datei nach dem Q.wiki Hosteintrag "DefaultUrlHost" suchen, und zu dem Ergebnis mit der fqdn Ihres Systems springen. 

Hier muss das 'http' durch ein 'https' ersetzt / erweitert werden. 

Danach die Datei speichern und die Services neustarten (punkt 7).


7. Neustarten der Services

a2enmod ssl
systemctl restart nginx qwiki









War dieser Artikel hilfreich?

Das ist großartig!

Vielen Dank für Ihr Feedback

Leider konnten wir nicht helfen

Vielen Dank für Ihr Feedback

Lassen Sie uns wissen, wie wir diesen Artikel verbessern können!

Wählen Sie wenigstens einen der Gründe aus

Feedback gesendet

Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren