XF1.x HTTPS mit kostenlosem Zertifikat einrichten

rugk hat eine neue Ressource erstellt:

HTTPS mit kostenlosem Zertifikat einrichten - Eine Anleitung, wie und warum man seine Seite auf HTTPS umzustellen kann/sollte,

Weitere Informationen zu dieser Ressource...

 

@McAtze

Wäre das mit DF Hosting realisierbar? Imho nein?

 

Punkt 4 setz ich wie um?

Der Rest dürfte kein Problem sein. Finde im Menü keine Stelle für Keys..

 

@rugk was ist von diesem Cod zu halten den man in die .htacsses Datei einfügen kann?

Code (Text):

Header set Strict-Transport-Security "max-age=500"
Header append Strict-Transport-Security includeSubDomains

https://support.tigertech.net/ssl-force

 

Laut DF Support ist die Einbindung möglich, würde jedoch 50€ kosten.

Ergo lieber gleich ein SSL Zertifikat direkt beziehen.

 

@piepo
Punkt 4 hat v.a. mit Punkt 1 zu tun. Denn wie dort gesagt, muss der Shared Hoster eine SSL-Konfiguration natürlich anbieten.
Wie dies bei DF Hosting ist, kann ich leider nicht sagen, aber eventuell ist ja eine Option verfügbar, SSL zu aktivieren, ohne gleichzeitig ein Zertifikat vom Hoster mit zu kaufen.

@netrix
Eher wenig. Zunächst einmal ist es umständlich den Header erst mit set zu setzen und danach mit append noch etwas hinzuzufügen.
Ganz abgesehen davon ist der Header so jedoch unsinnig, da max-age in Sekunden angegeben wird und der Header somit nur 5 Minuten gilt. Er sollte jedoch mindestens einige Monate gültig sein um eine effektive Wirkung zu erzielen.
In der Ressource ist er auch im Punkt 5 erwähnt, inklusive (besserem) Beispiel und ein paar Hinweisen.
Und übrigens ist es falsch, dass der HSTS-Header (also Strict-Transport-Security) nur von wenigen Browsern unterstützt wird, wie auf der von dir verlinkten Webseite beschrieben. Wahrscheinlich ist die Seite ziemlich unaktuell, denn in praktisch allen wichtigen Browsern wird dies heutzutage unterstützt.

 

also ich hab folgendes Problem :

ich hab die Seite nach der Anleitung bei meinem Webhoster eingerichtet . ich hab dir crt und die brückenzertifikate eingetragen , bekomm aber bei dem check auf ssllabs ein T

 

Da wir ja schon per PM kommuniziert haben, weiß ich welche Webseite du meinst und habe auch den SSLLabs-Scan dazu gesehen, aber alle anderen wissen das nicht, daher ist es - besonders bei den spärlichen Informationen die du geschrieben hast, sinnvoll dazu nochmal zu verlinken.
Wenn du den Link der Seite nicht geben willst, kannst du auch einen Screenshot vom SSLLabs-Scan (am Besten ganze Seite) machen und nur die Webadresse daraus entfernen.

Wie auch immer hier nochmal mein Hinweis: Bei dir ist die Konfiguration falsch. Zunächst einmal musst du die CRT nirgendwo bei dir eintragen, sondern die wird nur an die CA, also hier StartSSL, gesendet. Von dort bekommst du dann ein Zertifikat, welches du downloadest und welches du zusammen mit dem Brückenzertifikat (und natürlich dem privaten Schlüssel .key) in die Config einträgst. Der in der Ressource verlinkte Config-Generator von Mozilla zeigt dir auch wo, wenn du auf die Konfigurationsdatei Zugriff hast.

 

Ok werde ich dann mal nachschauen . Danke dir für die Hilfe

 

kann man bei startssl auch die Zertifikate noch mal downloaden ? find da nichts .(

 

Ja hier:

 

also ich hab ja nur die möglichkeit bei meinem hoster im ACP ein externes zertifikat einzubinden . ich kann dort auch ein eigenes erstellen .
nur ich komm nicht an die apache files ran um etwas einzustellen . http://all-inkl.com/wichtig/anleitu...t/einbindung-externes-ssl-zertifikat_396.html

 

Gut, bei All Inkl funktioniert dies jedoch auch so - solange du ein Paket gekauft hast, bei welchem SSL unterstützt wird.
Also du brauchst du dein Zertifikat nicht von All Inkl erstellen lassen, das gleiche hast du schon bei Schritt 2 gemacht.
Wenn du nun also auf der All-Inkl-Konfigurationsseite weiter nach unten scrollst, findest du die Felder für CSR und co. Bei CSR steht extra "optional" da - da brauchst du nichts eingeben. Danach folgen allerdings Felder für alle Dinge die ich erwähnt habe, also privater Schlüssel, von der CA erhaltenes Zertifikat (CRT) und Intermediate/Brückenzertifikat.
Da musst du dann jeweils dass richtige hinein kopieren und am Ende sollte alles funktionieren.

 

Bei All-Inkl ist das recht einfach das Zertifikat einzubinden.
Du gehst einfach im KAS auf Domain (oder Subdomain je nach dem was du schützen möchtest).
Dann gehst du auf Bearbeiten (Dieser Zettel mit dem Pfeil drauf)
In der Zeile "SSL Schutz" gehst du dann auf bearbeiten (Blatt mit dem Plus drauf).
Auf der Seite gibt es jetzt eine Sektion Namens "Zertifikatsdaten für Apache/mod_ssl".
Dort gibt es ein Feld mit dem Namen "KEY:", dort kopierst du deinen Privaten Key rein, bei mir startet der mit "-----BEGIN PRIVATE KEY-----".
Bei "CRT:" trägst du jetzt das eigentliche Zertifikat ein, das startet mit "-----BEGIN CERTIFICATE-----".
Wenn du für deinen Private Key ein Passwort vergeben hast, musst du das unter "KEY passphrase:" rein.

SSL Aktivieren auf "Ja" stellen nicht vergessen

 

Mal noch eine Korektur meines Beitrags oben:

Das soll CSR sein...
"CRT" steht für das von der CA erhaltene Zertifikat. (es ist eigentlich die bzw. eine mögliche Dateiendung) Das muss natürlich eingetragen werden.

 

also ich hab alles eintragen können bis auf den key ... den find ich nicht

das ist die Meldung :

 

Was konntest du nicht finden.
@netrix hat doch auch das Feld genau benannt:

Oder suchst du, was du da eintragen musst? Nun, du musst den privaten Schlüssel nehmen - das ist der dem du (außer dem Server) niemanden geben solltest und den du bei Schritt 2 mit erstellt hast. Die Dateiendung ist .key.
Wenn du es wie im Beispiel mit folgendem Befehl gemacht hast...:

Code (Text):

openssl req -nodes -newkey rsa:4096 -sha256 -keyout 'myprivatekey.key' -out 'mypublickey.csr' -subj '/CN=XXXX.de/C=DE'

... ist der Key in einer Datei myprivatekey.key, logischerweise im gleichen Ordner wie mypublickey.csr.

 

Ja hab ihn gefunden und eingetragen bei all-ink. Aber weiterhin wird mit der Fehler angezeigt mit key und crt passen nicht zusammen . was mach ich bloß falsch verdammt !

 

@Lemminator wo bekommst du den Fehler und welchen?
https://www.ssllabs.com/ssltest/analyze.html?d=ligev.de&hideResults=on&latest
Und laut dem hier klappt es doch.