XF1.x HTTPS mit kostenlosem Zertifikat einrichten

Eine Anleitung, wie und warum man seine Seite auf HTTPS umzustellen kann/sollte,

  1. rugk

    rugk Mitglied

    rugk hat eine neue Ressource erstellt:

    HTTPS mit kostenlosem Zertifikat einrichten - Eine Anleitung, wie und warum man seine Seite auf HTTPS umzustellen kann/sollte,

    Weitere Informationen zu dieser Ressource...
     
  2. piepo

    piepo Mitglied Lizenzinhaber

    @McAtze

    Wäre das mit DF Hosting realisierbar? Imho nein?
     
  3. McAtze

    McAtze Innendienst Lizenzinhaber

    Müsste man ausprobieren..
     
  4. piepo

    piepo Mitglied Lizenzinhaber

    Punkt 4 setz ich wie um?

    Der Rest dürfte kein Problem sein. Finde im Menü keine Stelle für Keys..
     
  5. netrix

    netrix Aktives Mitglied Lizenzinhaber

    @rugk was ist von diesem Cod zu halten den man in die .htacsses Datei einfügen kann?
    Code:
    Header set Strict-Transport-Security "max-age=500"
    Header append Strict-Transport-Security includeSubDomains
    https://support.tigertech.net/ssl-force
     
  6. piepo

    piepo Mitglied Lizenzinhaber

    Laut DF Support ist die Einbindung möglich, würde jedoch 50€ kosten.

    Ergo lieber gleich ein SSL Zertifikat direkt beziehen.
     
  7. rugk

    rugk Mitglied

    @piepo
    Punkt 4 hat v.a. mit Punkt 1 zu tun. Denn wie dort gesagt, muss der Shared Hoster eine SSL-Konfiguration natürlich anbieten.
    Wie dies bei DF Hosting ist, kann ich leider nicht sagen, aber eventuell ist ja eine Option verfügbar, SSL zu aktivieren, ohne gleichzeitig ein Zertifikat vom Hoster mit zu kaufen.

    @netrix
    Eher wenig. Zunächst einmal ist es umständlich den Header erst mit set zu setzen und danach mit append noch etwas hinzuzufügen.
    Ganz abgesehen davon ist der Header so jedoch unsinnig, da max-age in Sekunden angegeben wird und der Header somit nur 5 Minuten gilt. Er sollte jedoch mindestens einige Monate gültig sein um eine effektive Wirkung zu erzielen.
    In der Ressource ist er auch im Punkt 5 erwähnt, inklusive (besserem) Beispiel und ein paar Hinweisen.
    Und übrigens ist es falsch, dass der HSTS-Header (also Strict-Transport-Security) nur von wenigen Browsern unterstützt wird, wie auf der von dir verlinkten Webseite beschrieben. Wahrscheinlich ist die Seite ziemlich unaktuell, denn in praktisch allen wichtigen Browsern wird dies heutzutage unterstützt.
     
  8. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    also ich hab folgendes Problem :

    ich hab die Seite nach der Anleitung bei meinem Webhoster eingerichtet . ich hab dir crt und die brückenzertifikate eingetragen , bekomm aber bei dem check auf ssllabs ein T
     
  9. rugk

    rugk Mitglied

    Da wir ja schon per PM kommuniziert haben, weiß ich welche Webseite du meinst und habe auch den SSLLabs-Scan dazu gesehen, aber alle anderen wissen das nicht, daher ist es - besonders bei den spärlichen Informationen die du geschrieben hast, sinnvoll dazu nochmal zu verlinken.
    Wenn du den Link der Seite nicht geben willst, kannst du auch einen Screenshot vom SSLLabs-Scan (am Besten ganze Seite) machen und nur die Webadresse daraus entfernen.

    Wie auch immer hier nochmal mein Hinweis: Bei dir ist die Konfiguration falsch. Zunächst einmal musst du die CRT nirgendwo bei dir eintragen, sondern die wird nur an die CA, also hier StartSSL, gesendet. Von dort bekommst du dann ein Zertifikat, welches du downloadest und welches du zusammen mit dem Brückenzertifikat (und natürlich dem privaten Schlüssel .key) in die Config einträgst. Der in der Ressource verlinkte Config-Generator von Mozilla zeigt dir auch wo, wenn du auf die Konfigurationsdatei Zugriff hast.
     
  10. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    Ok werde ich dann mal nachschauen . Danke dir für die Hilfe
     
  11. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    kann man bei startssl auch die Zertifikate noch mal downloaden ? find da nichts .(
     
  12. rugk

    rugk Mitglied

  13. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

  14. rugk

    rugk Mitglied

    Gut, bei All Inkl funktioniert dies jedoch auch so - solange du ein Paket gekauft hast, bei welchem SSL unterstützt wird.
    Also du brauchst du dein Zertifikat nicht von All Inkl erstellen lassen, das gleiche hast du schon bei Schritt 2 gemacht.
    Wenn du nun also auf der All-Inkl-Konfigurationsseite weiter nach unten scrollst, findest du die Felder für CSR und co. Bei CSR steht extra "optional" da - da brauchst du nichts eingeben. Danach folgen allerdings Felder für alle Dinge die ich erwähnt habe, also privater Schlüssel, von der CA erhaltenes Zertifikat (CRT) und Intermediate/Brückenzertifikat.
    Da musst du dann jeweils dass richtige hinein kopieren und am Ende sollte alles funktionieren.
     
    Lemminator gefällt das.
  15. netrix

    netrix Aktives Mitglied Lizenzinhaber

    Bei All-Inkl ist das recht einfach das Zertifikat einzubinden.
    Du gehst einfach im KAS auf Domain (oder Subdomain je nach dem was du schützen möchtest).
    Dann gehst du auf Bearbeiten (Dieser Zettel mit dem Pfeil drauf)
    In der Zeile "SSL Schutz" gehst du dann auf bearbeiten (Blatt mit dem Plus drauf).
    Auf der Seite gibt es jetzt eine Sektion Namens "Zertifikatsdaten für Apache/mod_ssl".
    Dort gibt es ein Feld mit dem Namen "KEY:", dort kopierst du deinen Privaten Key rein, bei mir startet der mit "-----BEGIN PRIVATE KEY-----".
    Bei "CRT:" trägst du jetzt das eigentliche Zertifikat ein, das startet mit "-----BEGIN CERTIFICATE-----".
    Wenn du für deinen Private Key ein Passwort vergeben hast, musst du das unter "KEY passphrase:" rein.

    SSL Aktivieren auf "Ja" stellen nicht vergessen ;)
     
    Lemminator und rugk gefällt das.
  16. rugk

    rugk Mitglied

    Mal noch eine Korektur meines Beitrags oben:
    Das soll CSR sein...
    "CRT" steht für das von der CA erhaltene Zertifikat. (es ist eigentlich die bzw. eine mögliche Dateiendung) Das muss natürlich eingetragen werden.
     
  17. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    also ich hab alles eintragen können bis auf den key ... den find ich nicht

    das ist die Meldung :
     
    Zuletzt bearbeitet: 8. Aug. 2015
  18. rugk

    rugk Mitglied

    Was konntest du nicht finden.
    @netrix hat doch auch das Feld genau benannt:
    Oder suchst du, was du da eintragen musst? Nun, du musst den privaten Schlüssel nehmen - das ist der dem du (außer dem Server) niemanden geben solltest und den du bei Schritt 2 mit erstellt hast. Die Dateiendung ist .key.
    Wenn du es wie im Beispiel mit folgendem Befehl gemacht hast...:
    Code:
    openssl req -nodes -newkey rsa:4096 -sha256 -keyout 'myprivatekey.key' -out 'mypublickey.csr' -subj '/CN=XXXX.de/C=DE'
    ... ist der Key in einer Datei myprivatekey.key, logischerweise im gleichen Ordner wie mypublickey.csr.
     
  19. Lemminator

    Lemminator Manchmal verpeilt Lizenzinhaber

    Ja hab ihn gefunden und eingetragen bei all-ink. Aber weiterhin wird mit der Fehler angezeigt mit key und crt passen nicht zusammen . :( was mach ich bloß falsch verdammt !
     
  20. netrix

    netrix Aktives Mitglied Lizenzinhaber

  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden