8
HTTPS für Apache2 für interne Zwecke
Hallo zusammen,
ich habe in unserem Intranet einige Webserver auf Debian 8 Apache2.
Diese laufen momentan noch über HTTP.
Ich möchte dies umstellen auf HTTPS.
Im Internet habe ich nun mehrere Begriffe/Methoden gefunden und einige ausprobiert.
Mein Ziel ist es einfach, die Apache nur über HTTPS laufen zulassen.
Das Zertifikat sollte auch von den Browsern als vertrauenswürdig eingestuft werden.
Es sollte kostenlos und einfach einzurichten sein.
Es ist nur für das Intranet gedacht. Eine Domain dafür soll es nicht geben
Bei meinen letzte Versuchen mit Certbot, wurde ich nach einer Domain gefragt.
Bei test.local oder nur local meinte er schon das er diese Domäne nicht finden kann. Er möchte auch eine TLD dafür haben.
Das ist ja schonmal nicht das was ich möchte.
Kann mir da jemand was empfehlen?
Lg
ich habe in unserem Intranet einige Webserver auf Debian 8 Apache2.
Diese laufen momentan noch über HTTP.
Ich möchte dies umstellen auf HTTPS.
Im Internet habe ich nun mehrere Begriffe/Methoden gefunden und einige ausprobiert.
Mein Ziel ist es einfach, die Apache nur über HTTPS laufen zulassen.
Das Zertifikat sollte auch von den Browsern als vertrauenswürdig eingestuft werden.
Es sollte kostenlos und einfach einzurichten sein.
Es ist nur für das Intranet gedacht. Eine Domain dafür soll es nicht geben
Bei meinen letzte Versuchen mit Certbot, wurde ich nach einer Domain gefragt.
Bei test.local oder nur local meinte er schon das er diese Domäne nicht finden kann. Er möchte auch eine TLD dafür haben.
Das ist ja schonmal nicht das was ich möchte.
Kann mir da jemand was empfehlen?
Lg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 344922
Url: https://administrator.de/contentid/344922
Printed on: April 25, 2024 at 19:04 o'clock
8 Comments
Latest comment
Hallo,
so wird dir auch keiner ein Zertifikat ausstellen. Entweder für ne richtige Domain. Oder du kümmerst dich selber um die Zertifikate und deren Vertrauenswürdigkeit.
so wird dir auch keiner ein Zertifikat ausstellen. Entweder für ne richtige Domain. Oder du kümmerst dich selber um die Zertifikate und deren Vertrauenswürdigkeit.
1
Wie wird es dann für ein Intranet gemacht?
Hallo,
Schlau lesen hier :
https://wiki.debian.org/Self-Signed_Certificate
https://www.howtoforge.de/anleitung/howto-selbstsigniertes-ssl-zertifika ...
https://thomas-leister.de/selbst-signierte-tls-zertifikate-mit-eigener-c ...
https://www.windowspro.de/andreas-kroschel/selbstsignierte-zertifikate-m ...
Die Verteilung der Zertifikate dann halt per GPO.
BFF
Schlau lesen hier :
https://wiki.debian.org/Self-Signed_Certificate
https://www.howtoforge.de/anleitung/howto-selbstsigniertes-ssl-zertifika ...
https://thomas-leister.de/selbst-signierte-tls-zertifikate-mit-eigener-c ...
https://www.windowspro.de/andreas-kroschel/selbstsignierte-zertifikate-m ...
Die Verteilung der Zertifikate dann halt per GPO.
BFF
Servus,
für Zertifikate, die von den gängigen Browsern akzeptiert werden, brauchst du einen offiziellen FQDN, sonst wird das nichts.
Aber du kannst dir ja auch ein Zertifikat für intranet.deinefirma.com ausstellen lassen und den Namen nur intern auflösen lassen. Ein einfaches Zertifikat kostet ca. 10-15€/Jahr.
Let's encrypt wäre noch eine Möglichkeit, aber für die Erstellung brauchst du auch einen offiziellen FQDN und der Server muss während der Erstellung (und vermutlich auch während der Erneuerung alle paar Monate) per FQDN von außen erreichbar sein.
Ansonsten gehen nur die genannten Methoden, wie du ein selbst signiertes Zertifikat in den Zertifikatsspeicher deines Betriebssystems/Browsers bekommst.
Grüße, Stefan
für Zertifikate, die von den gängigen Browsern akzeptiert werden, brauchst du einen offiziellen FQDN, sonst wird das nichts.
Aber du kannst dir ja auch ein Zertifikat für intranet.deinefirma.com ausstellen lassen und den Namen nur intern auflösen lassen. Ein einfaches Zertifikat kostet ca. 10-15€/Jahr.
Let's encrypt wäre noch eine Möglichkeit, aber für die Erstellung brauchst du auch einen offiziellen FQDN und der Server muss während der Erstellung (und vermutlich auch während der Erneuerung alle paar Monate) per FQDN von außen erreichbar sein.
Ansonsten gehen nur die genannten Methoden, wie du ein selbst signiertes Zertifikat in den Zertifikatsspeicher deines Betriebssystems/Browsers bekommst.
Grüße, Stefan
Zitat von @stefaan:
Let's encrypt wäre noch eine Möglichkeit, aber für die Erstellung brauchst du auch einen offiziellen FQDN und der Server muss während der Erstellung (und vermutlich auch während der Erneuerung alle paar Monate) per FQDN von außen erreichbar sein.
Let's encrypt wäre noch eine Möglichkeit, aber für die Erstellung brauchst du auch einen offiziellen FQDN und der Server muss während der Erstellung (und vermutlich auch während der Erneuerung alle paar Monate) per FQDN von außen erreichbar sein.
Das ist so nicht ganz korrekt:
Solange du einen DNS-Record für den Namen anlegen kannst, kannst du auch ein Zertifikat dafür mit LetsEncrypt ausstellen.
Diese Verifikation per Datei ist nur eine Methode um dich zu authentifizieren.
Ich mache das per DNS und kann so auch Nicht-HTTP-Dienste (z.B. Mailserver) damit sichern.
Servus,
danke für den Hinweis, erleichtert die Sache bei der nächsten Testumgebung
Grüße, Stefan
Zitat von @LordGurke:
Das ist so nicht ganz korrekt:
Solange du einen DNS-Record für den Namen anlegen kannst, kannst du auch ein Zertifikat dafür mit LetsEncrypt ausstellen.
Diese Verifikation per Datei ist nur eine Methode um dich zu authentifizieren.
Ich mache das per DNS und kann so auch Nicht-HTTP-Dienste (z.B. Mailserver) damit sichern.
Das ist so nicht ganz korrekt:
Solange du einen DNS-Record für den Namen anlegen kannst, kannst du auch ein Zertifikat dafür mit LetsEncrypt ausstellen.
Diese Verifikation per Datei ist nur eine Methode um dich zu authentifizieren.
Ich mache das per DNS und kann so auch Nicht-HTTP-Dienste (z.B. Mailserver) damit sichern.
danke für den Hinweis, erleichtert die Sache bei der nächsten Testumgebung
Grüße, Stefan
Dies Bedeutet also, das ich auf dem DNS Server einfach einen Eintrag erstellen muss, mit dem gewünschten Domainnamen und dem
der IP der HTTPS Server?
LG
der IP der HTTPS Server?
LG
Nicht zwangsläufig.
Wenn das Intranet nur auch einen gewissen Host Header hört dann bringt dir das ganze wieder nicht's.
Und ein paar andere Fallstricke gibt's da auch noch.
Aber du kannst grundsätzlich dein Intranet so einrichten das es dann nur Intern über Intranet.externaldomain.de erreichbar ist.
Wenn das Intranet nur auch einen gewissen Host Header hört dann bringt dir das ganze wieder nicht's.
Und ein paar andere Fallstricke gibt's da auch noch.
Aber du kannst grundsätzlich dein Intranet so einrichten das es dann nur Intern über Intranet.externaldomain.de erreichbar ist.
