HTTPS mit kostenlosem Zertifikat einrichten

XF1.x HTTPS mit kostenlosem Zertifikat einrichten

rugk

Aktives Mitglied
Registriert
10. Dez. 2014
Beiträge
72
Punkte
43
rugk hat eine neue Ressource erstellt:

HTTPS mit kostenlosem Zertifikat einrichten - Eine Anleitung, wie und warum man seine Seite auf HTTPS umzustellen kann/sollte,

In unserem Computer-Security-Forum Computerguard.de sind wir auch kürzlich auf HTTPS umgezogen. Für ein Security-Forum war (und ist) HTTPS natürlich Pflicht bei uns. Nach einigen Diskussionen haben wir uns dagegen entschieden ein SSL-Zertifikat zu kaufen und haben das ganze mit einem kostenlosem umgesetzt.
Ich würde jedoch auch jedem anderen Forum-Admin raten auf HTTPS umzuziehen, auch wenn das Forum nicht speziell etwas mit Security zu tun hat....

Weitere Informationen zu dieser Ressource...
 
@McAtze

Wäre das mit DF Hosting realisierbar? Imho nein?
 
Müsste man ausprobieren..
 
Punkt 4 setz ich wie um?

Der Rest dürfte kein Problem sein. Finde im Menü keine Stelle für Keys..
 
@rugk was ist von diesem Cod zu halten den man in die .htacsses Datei einfügen kann?
Code:
Header set Strict-Transport-Security "max-age=500"
Header append Strict-Transport-Security includeSubDomains
https://support.tigertech.net/ssl-force
 
Laut DF Support ist die Einbindung möglich, würde jedoch 50€ kosten.

Ergo lieber gleich ein SSL Zertifikat direkt beziehen.
 
@piepo
Punkt 4 hat v.a. mit Punkt 1 zu tun. Denn wie dort gesagt, muss der Shared Hoster eine SSL-Konfiguration natürlich anbieten.
Wie dies bei DF Hosting ist, kann ich leider nicht sagen, aber eventuell ist ja eine Option verfügbar, SSL zu aktivieren, ohne gleichzeitig ein Zertifikat vom Hoster mit zu kaufen.

@netrix
Eher wenig. Zunächst einmal ist es umständlich den Header erst mit set zu setzen und danach mit append noch etwas hinzuzufügen.
Ganz abgesehen davon ist der Header so jedoch unsinnig, da max-age in Sekunden angegeben wird und der Header somit nur 5 Minuten gilt. Er sollte jedoch mindestens einige Monate gültig sein um eine effektive Wirkung zu erzielen.
In der Ressource ist er auch im Punkt 5 erwähnt, inklusive (besserem) Beispiel und ein paar Hinweisen.
Und übrigens ist es falsch, dass der HSTS-Header (also Strict-Transport-Security) nur von wenigen Browsern unterstützt wird, wie auf der von dir verlinkten Webseite beschrieben. Wahrscheinlich ist die Seite ziemlich unaktuell, denn in praktisch allen wichtigen Browsern wird dies heutzutage unterstützt.
 
also ich hab folgendes Problem :

ich hab die Seite nach der Anleitung bei meinem Webhoster eingerichtet . ich hab dir crt und die brückenzertifikate eingetragen , bekomm aber bei dem check auf ssllabs ein T
 
Da wir ja schon per PM kommuniziert haben, weiß ich welche Webseite du meinst und habe auch den SSLLabs-Scan dazu gesehen, aber alle anderen wissen das nicht, daher ist es - besonders bei den spärlichen Informationen die du geschrieben hast, sinnvoll dazu nochmal zu verlinken.
Wenn du den Link der Seite nicht geben willst, kannst du auch einen Screenshot vom SSLLabs-Scan (am Besten ganze Seite) machen und nur die Webadresse daraus entfernen.

Wie auch immer hier nochmal mein Hinweis: Bei dir ist die Konfiguration falsch. Zunächst einmal musst du die CRT nirgendwo bei dir eintragen, sondern die wird nur an die CA, also hier StartSSL, gesendet. Von dort bekommst du dann ein Zertifikat, welches du downloadest und welches du zusammen mit dem Brückenzertifikat (und natürlich dem privaten Schlüssel .key) in die Config einträgst. Der in der Ressource verlinkte Config-Generator von Mozilla zeigt dir auch wo, wenn du auf die Konfigurationsdatei Zugriff hast.
 
Ok werde ich dann mal nachschauen . Danke dir für die Hilfe
 
kann man bei startssl auch die Zertifikate noch mal downloaden ? find da nichts .(
 
Ja hier:
t9Al0Ux.png
 
Gut, bei All Inkl funktioniert dies jedoch auch so - solange du ein Paket gekauft hast, bei welchem SSL unterstützt wird.
Also du brauchst du dein Zertifikat nicht von All Inkl erstellen lassen, das gleiche hast du schon bei Schritt 2 gemacht.
Wenn du nun also auf der All-Inkl-Konfigurationsseite weiter nach unten scrollst, findest du die Felder für CSR und co. Bei CSR steht extra "optional" da - da brauchst du nichts eingeben. Danach folgen allerdings Felder für alle Dinge die ich erwähnt habe, also privater Schlüssel, von der CA erhaltenes Zertifikat (CRT) und Intermediate/Brückenzertifikat.
Da musst du dann jeweils dass richtige hinein kopieren und am Ende sollte alles funktionieren.
 
Bei All-Inkl ist das recht einfach das Zertifikat einzubinden.
Du gehst einfach im KAS auf Domain (oder Subdomain je nach dem was du schützen möchtest).
Dann gehst du auf Bearbeiten (Dieser Zettel mit dem Pfeil drauf)
In der Zeile "SSL Schutz" gehst du dann auf bearbeiten (Blatt mit dem Plus drauf).
Auf der Seite gibt es jetzt eine Sektion Namens "Zertifikatsdaten für Apache/mod_ssl".
Dort gibt es ein Feld mit dem Namen "KEY:", dort kopierst du deinen Privaten Key rein, bei mir startet der mit "-----BEGIN PRIVATE KEY-----".
Bei "CRT:" trägst du jetzt das eigentliche Zertifikat ein, das startet mit "-----BEGIN CERTIFICATE-----".
Wenn du für deinen Private Key ein Passwort vergeben hast, musst du das unter "KEY passphrase:" rein.

SSL Aktivieren auf "Ja" stellen nicht vergessen ;)
 
also ich hab alles eintragen können bis auf den key ... den find ich nicht

das ist die Meldung :
Das Zertifikat wurde bearbeitet, allerdings passen KEY und CRT nicht zusammen. Es konnte daher nicht aktiviert werden!
 
Zuletzt bearbeitet:
Was konntest du nicht finden.
@netrix hat doch auch das Feld genau benannt:
Dort gibt es ein Feld mit dem Namen "KEY:",

Oder suchst du, was du da eintragen musst? Nun, du musst den privaten Schlüssel nehmen - das ist der dem du (außer dem Server) niemanden geben solltest und den du bei Schritt 2 mit erstellt hast. Die Dateiendung ist .key.
Wenn du es wie im Beispiel mit folgendem Befehl gemacht hast...:
Code:
openssl req -nodes -newkey rsa:4096 -sha256 -keyout 'myprivatekey.key' -out 'mypublickey.csr' -subj '/CN=XXXX.de/C=DE'
... ist der Key in einer Datei myprivatekey.key, logischerweise im gleichen Ordner wie mypublickey.csr.
 
Ja hab ihn gefunden und eingetragen bei all-ink. Aber weiterhin wird mit der Fehler angezeigt mit key und crt passen nicht zusammen . :( was mach ich bloß falsch verdammt !
 
Zurück
Oben