Homepage - Umstellung auf HTTPS

caspi-pirna
Goto Top
Guten morgen zusammen,

ich stehe aktuell vor der Aufgabe, die Homepage eines kleinen Vereins von HTTP auf HTTPS umzustellen.
Klingt, einfacher, als es die vorliegende Konstellation vielleicht macht...

Folgende Rahmenbedingungen liegen vor und sollten (bis auf die Umkonfiguration), auch so erhalten bleiben:
  • Domain bei 1und1 (bisher ohne https / Zertifikat; müsste entsprechend dazu gebucht werden)
  • Fritzbox mit DynDNS-Konfiguration auf die Domai bei 1und1, sowie der Weiterleitung von Port 80 auf einen dahinterbefindlichen Webserver (Apache)
  • Ubuntu-Server mit Apache als Host der Webseiten

Und nun die Frage - wie kann ich diese Konstellation auf HTTPS umstellen?

Bei 1und1 die Domain mit Zertifikat ordern - soweit, so klar.
Und dann? (Import auf Fritzbox, Umkonfiguration der FB und des Apache, ...)

Danke für eure Unterstützung!
Caspi

Content-Key: 433229

Url: https://administrator.de/contentid/433229

Ausgedruckt am: 20.05.2022 um 16:05 Uhr

Mitglied: StefanKittel
StefanKittel 27.03.2019 um 10:05:26 Uhr
Goto Top
Moin,

also 1und1 macht nur DNS und das eigentliche Hosting läuft bei Euch?
Warum? Es gibt viele Gründe warum man kein 5-Cent-Hosting machen sollte.

Aber wenn dem so ist, kannst Du kein Zertifikat von 1und1 nehmen sondern muss selber eines kaufen.
Die Umleitung auch für Port 443 machen und das Zertifikat an Eurem Web-Server installieren.

Stefan
Mitglied: SlainteMhath
SlainteMhath 27.03.2019 um 10:05:33 Uhr
Goto Top
Moin,

wenn das rein über den Apachen hinter dem DynDNS läuft reicht es aus auf dem Ubuntu ein Let's Encrypt Zertifikat zu installieren. Einen Client der das automatisch tut und auch deine Konfig umschreibt gibt's auf deren Website.

lg,
Slainte
Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.03.2019 um 10:05:58 Uhr
Goto Top
Hallo Caspi,

besser du holst dir einen Dienstleister.

Bei 1und1 brauchst du kein Zert, das geht über LE.

VG
Mitglied: aqui
aqui 27.03.2019 aktualisiert um 10:24:14 Uhr
Goto Top
Its all on the web...:
https://www.digitalocean.com/community/tutorials/how-to-secure-apache-wi ...
Wenn du einen Domain Namen hast: kostenloses Zertifikat von Lets Encrypt und fertig ist der Lack !
Mitglied: caspi-pirna
caspi-pirna 27.03.2019 aktualisiert um 10:38:11 Uhr
Goto Top
Okay, soweit verstanden.

Was passiert, wenn ich zwei Seiten auf dem Apache hoste?
gilt LE für alle Seiten des Apache, oder nur für eine?

Kurzer Hintergrund;
Neben der Vereinsseite wird noch eine zweite Seite auf dem Apache gehostet, welche idealerweise ebenfalls per https ausgeliefert werden soll.
Mitglied: SlainteMhath
SlainteMhath 27.03.2019 um 10:43:58 Uhr
Goto Top
Ich nehme an mit "Seite" meinst du "Domain" - ja das geht. LE erkannt das und lässt dann 2 Zerts austellen. Voraussetzung dafür ist natürlich, das dein Apache mit den korrekten, öffentlichen FQDN der Websites/VHOSTS konfiguriert ist.
Mitglied: caspi-pirna
caspi-pirna 27.03.2019 aktualisiert um 11:02:45 Uhr
Goto Top
okay, danke, dass muss ich mir nochmal genauer anschauen.
Ich melde mich

Macht es in dem Fall einen Unterschied, ob die Domain als "normal", oder als eingebetteter Iframe von 1und1 weiter geleitet wird?
Werweise in jedem Fall auf einen Unterordner im /var/www/html des Apache - also "/var/www/html/hp1" bzw. "/var/www/html/hp2"

Besten dank erst einmal soweit!
Mitglied: aqui
aqui 27.03.2019 aktualisiert um 11:38:58 Uhr
Goto Top
Das ist egal, Hauptsache der Web Server ist über den Domain Namen öffentlich erreichbar und damit konfiguriert wie oben schon gesagt.
Mitglied: SlainteMhath
SlainteMhath 27.03.2019 um 12:18:50 Uhr
Goto Top
...eingebetteter Iframe von 1und1...
Moooment... wie sieht denn Konstrukt genau aus?

Die Seite bei 1&1 wird mit www.contoso.com aufgerufen,
Der Iframe lädt dann hp1.contoso.com und/oder h2.contoso.com von deinem internen Apachen nach?

Wenn das so ist, dann brauchst du 3 Zertifikate: 1. eins von 1&1 für www.contoso.com, 2. + 3. je eins von LE für hp1...com und hp2....com
Mitglied: Bem0815
Bem0815 27.03.2019 um 12:25:50 Uhr
Goto Top
Da bin ich jetzt nicht so sicher ob ich hier aqui zustimmen kann.

Bei einem Iframe würde doch meines Wissens 1und1 über eine eigene Seite nur die Webseite in diesem Vollbild Iframe aufrufen und darstellen.
Dann würde innerhalb des Iframe aber einfach nur die Dyndns URL aufgerufen und nicht wirklich weitergeleitet werden.

Das hätte doch dann zur folge, dass hier das Zertifikat auf die .de Domain nicht zur DynDNS URL passt und dann meckert.

Oder liege ich da falsch?
Mitglied: falscher-sperrstatus
falscher-sperrstatus 27.03.2019 um 12:27:31 Uhr
Goto Top
Wäre doch optimal, ich will gar nicht auf so stümperhaft gewartete Seiten kommen, besser ist, wenn da direkt eine Warnmeldung kommt.
Mitglied: caspi-pirna
caspi-pirna 27.03.2019 um 13:09:10 Uhr
Goto Top
Also es ist so, dass ich in der 1und1-Config die Weiterleitung als IFrame eingestellt habe und somit immer die Domain "www.contoso.com" in der Adresszeile angezeigt bekomme.
Diese läd dann im Iframe die Daten der bei mir gehosteten Seiten vom Apache nach (Dyndns URL).
Mitglied: Bem0815
Bem0815 27.03.2019 um 13:19:31 Uhr
Goto Top
Die angezeigte URL ist nicht automatisch die wirklich aufgerufene URL bei so einem Szenario. Ich bin bei einem Iframe skeptisch ob das funktioniert mit Zertifikat.

Im Zweifel wirst du das testen müssen.

Könntest hierzu ja auf deinem Apache mal einen weiteren vhost für eine Subdomain machen und das ganze da testen.
Also neuer vhost auf dem Apache, dann bei 1und1 eine Subdomain mit Weiterleitung auf diesen Vhost und dort dann für die Subdomain das LE Zertifkat nutzen.

Dann ist zumindest hier deine Produktivumgebung nicht betroffen.
Mitglied: 138810
138810 27.03.2019 aktualisiert um 16:16:07 Uhr
Goto Top
Also es ist so, dass ich in der 1und1-Config die Weiterleitung als IFrame eingestellt habe und somit immer die Domain "www.contoso.com" in der Adresszeile angezeigt bekomme.
Wieso so ein dämliches IFrame Weiterleitungs-Gedöns?? Erstelle einen CNAME mit www der auf deine dyndns Adresse zeigt, und hinterlege dein Cert in deinem Apache in der passenden Host-Config, fertsch.
Mitglied: SlainteMhath
SlainteMhath 27.03.2019 um 16:30:26 Uhr
Goto Top
Interessant wäre an dieser Stelle die Frage, warum überhaupt so ein Konstrukt bauen, wo man doch eh schon Webspace bei 1&1 hat. Was wird dann noch auf dem abgesetzten Apache hinter der Fritte bereitgestellt, was man nich auch bei 1&1 parken könnte...
Mitglied: 138810
138810 27.03.2019 aktualisiert um 16:51:23 Uhr
Goto Top
Und bei 1und1 gibt's inzwischen auch ein kostenloses Wildcard Zertifikat zum Tarif für entsprechende Domains welches man bei Bedarf auch exportieren und für seine eigenen Server nutzen kann, hat nur kaum einer mitbekommen.
Mitglied: caspi-pirna
caspi-pirna 27.03.2019 um 17:17:20 Uhr
Goto Top
Also kurz dazu:

1. Bei 1und1 hab ich nur die Domain mit paar Mail- Adressen, ohne Webspace.

2. Das Konstrukt als solches ist historisch gewachsen

3. Grundlegend hat der lokale Apache den Vorteil, dass die Daten "hier" liegen und ich den komfortabelsten Zugriff drauf habe...
Mitglied: caspi-pirna
caspi-pirna 28.03.2019 um 05:55:20 Uhr
Goto Top
Moin moin in die Runde.

das mit dem CNAME (WWW) klingt zu gut, um wahr zu sein.
Dann diesen im ControlCenter leider nicht in der Form " ;http:DYNDNS-DOMAIN.de/_HOMEPAGE1///" angeben :-( face-sad
Der Unterordner "_HOMEPAGE1/" ist die bei mir vorherrschende Struktur für die beiden gehosteten Domains
Mitglied: 138810
138810 28.03.2019 aktualisiert um 09:12:56 Uhr
Goto Top
Zitat von @caspi-pirna:

Moin moin in die Runde.

das mit dem CNAME (WWW) klingt zu gut, um wahr zu sein.
Dann diesen im ControlCenter leider nicht in der Form " ;http:DYNDNS-DOMAIN.de/_HOMEPAGE1///" angeben :-( face-sad
Das ist ja auch Blödsinn, sorry. DNS hat nichts aber auch gar nichts mit Subpathes am Hut sondern nur mit Domainnamen!

Der Unterordner "_HOMEPAGE1/" ist die bei mir vorherrschende Struktur für die beiden gehosteten Domains
Für jede andere Homepage legst du eine separate Subdomain mit separatem CNAME an, die Unterscheidung welche Seite der User aufrufen will nimmt dann der Apache anhand des Hostheaders vor!!
Mitglied: caspi-pirna
caspi-pirna 28.03.2019 aktualisiert um 09:37:17 Uhr
Goto Top
sorry für die wahrscheinlich etwas blöden Fragen... :-( face-sad

für mich also nochmal zusammengefasst:

  • für jede auf dem Apache gehostete Domain bei 1und1 den CNAME mit www auf den DYNDNS-Namen anlegen
  • auf dem Apache die VHOSTS kofigurieren (und dort dann auch die Struktur / Subpathes auf dem Server)
  • der Apache weiß anhand der VHosts (und darüer, von welcher Domain die Anfrage kommt), welche der beiden Seiten er auszuliefern hat

und dann sollte das auch mit den Let´s Encrypt-Zertifikaten passen (?)


Danke nochmals für diese Basics
Mitglied: 138810
138810 28.03.2019 um 09:51:02 Uhr
Goto Top
Zitat von @caspi-pirna:
  • für jede auf dem Apache gehostete Domain bei 1und1 den CNAME mit www auf den DYNDNS-Namen anlegen
Jepp.
* auf dem Apache die VHOSTS kofigurieren (und dort dann auch die Struktur / Subpathes auf dem Server)
Jepp.
* der Apache weiß anhand der VHosts (und darüer, von welcher Domain die Anfrage kommt), welche der beiden Seiten er auszuliefern hat
Die Domain die der User aufruft steht im HTTP Request des Clients im Hostheader drin, anhand dessen unterscheidet der Apache an welchen VHOST er die Anfrage zu leiten hat. Die VHOSTS konfigurierst du auf die entsprechenden DOMAINS die du bei 1und1 hast und fertig.
und dann sollte das auch mit den Let´s Encrypt-Zertifikaten passen (?)
Jepp.
Mitglied: caspi-pirna
caspi-pirna 28.03.2019 um 11:16:50 Uhr
Goto Top
Besten Dank erstmal für die Hinweise / Antworten.
Ich werde mich die kommenden Tage mal an das Thema der Umsetzung wagen

Beste Grüße,
Caspi
Mitglied: caspi-pirna
caspi-pirna 28.03.2019 aktualisiert um 11:31:44 Uhr
Goto Top
noch ne kurze Frage zur Config bei 1und1:

wenn ich den CNAME im DNS der Domain angepasst habe, hat das doch erstmal nix mit der Verwendung zu tun.
verwendung

Aktuell hab ich die Weiterleitung auf meine DYN-Adresse inkl. Subpath (http://MYADRESS.spdns.de/_HOMEPAGE1/index.php) konfiguriert.
Was muss ich denn dort noch anpassen? reicht hier die Weiterleitung auf http://MYADRESS.spdns.de aus?
Mitglied: 138810
138810 28.03.2019 um 11:33:50 Uhr
Goto Top
Deaktiviere die Weiterleitung, und setze den CNAME.
Mitglied: caspi-pirna
caspi-pirna 28.03.2019 um 11:38:27 Uhr
Goto Top
Danke :-) face-smile
Mitglied: 138810
138810 28.03.2019 um 11:40:53 Uhr
Goto Top
You're welcome.
Mitglied: caspi-pirna
caspi-pirna 17.04.2019 um 06:08:14 Uhr
Goto Top
Guten Morgen in die Runde,

ich habe nun endlich Zeit gefunden, das ganze Thema mal zur Umsetzung zu bringen.
Folgende Dinge habe ich bisher gemacht:

  • Löschung der Domain-Weiterleitung und Konfiguration des CNAME bei 1und1
  • Konfiguration der VHosts im Apache

Beim Test (bisher ohne SSL) ist mir folgendes aufgefallen:
  • beim Aufruf der Seite in der Form www.domain1.de bzw. www.domain2.de komme ich wie gewünscht auf die entsprechend gehosteten Seiten auf dem Apache.
  • beim Aufruf der Seiten ohne "www" bekomme ich folgende Fehlermeldung im IE, Edge bzw. Firefox:
2019.04.17__fehlermeldung ohne www

Kann mir dazu jemand noch eine Tipp geben?

In der domain1.conf des Apache ist dabei folgendes angegeben:

Besten Dank im Voraus,
Caspi
Mitglied: SlainteMhath
SlainteMhath 17.04.2019 um 09:17:03 Uhr
Goto Top
Kann mir dazu jemand noch eine Tipp geben?
Lass das mit dem Iframe, das ist gefrickel...

Konfiguriere den DNS so, das alle gewünschten (Sub-)Domains auf den Host zeigen auf den der Apache läuft und gut.
Mitglied: Bem0815
Bem0815 17.04.2019 um 09:18:19 Uhr
Goto Top
Eigentlich müsste das bei dir schon so korrekt funktionieren, da du mit ServerName und Server Alias ja eigentlich beide Fälle abdeckst.

Noch anders lösen könnte man das ganze wenn du z.B. in deinem aktuellen Beitrag nur Server Name www.domain1.de stehen hättest und keinen ServerAlias und dann folgenden zweiten Eintrag erstellst:

<VirtualHost *:80>
ServerName domain1.de
Redirect permanent / http://www.domain1.de/
</VirtualHost>

Wie gesagt müsste es eigentlich aber schon so laufen wie du das aktuell hast.
Was mich auch ein wenig Stutzig macht ist die Fehlermeldung, da hier immer noch von einem IFrame die Rede ist.
Wenn du auf CNAME umgestellt hast sollte der ja eigentlich nicht mehr kommen.

Hast du mal deine DNS Einstellungen geprüft ob auch sowohl für www.domain1.de als auch domain1.de ein CName statt einem Iframe konfiguriert ist? Sollte das der Fall sein schau auch bitte mal ob du noch was im DNS Cache hast das immer noch den Iframe nutzt.

Dann am besten einfach mal den DNS Cache leeren.
Mitglied: caspi-pirna
caspi-pirna 17.04.2019 um 09:22:09 Uhr
Goto Top
ich steh grad ein wenig auf der Leitung....

  • die Hauptseite als Solches läd irgendwann mal nen Iframe, sie selbst sollte sich aber so aufbauen
  • die Iframes zeigen auf verschiedene Inhaltsseiten, welche in der Hauptseite angezeigt werden.

Das Problem müsste doch dann aber unabhängig davon bestehen, ob ich die Adresse mit oder ohne "www" aufrufe???
Mitglied: SlainteMhath
SlainteMhath 17.04.2019 um 09:25:10 Uhr
Goto Top
Das Problem müsste doch dann aber unabhängig davon bestehen, ob ich die Adresse mit oder ohne "www" aufrufe???
www.dom.de
und
dom.de

sind 2 verschiedene A/CNAME Records im DNS. Zeigen die denn auf den selben Host?
Mitglied: 139374
139374 17.04.2019 aktualisiert um 09:31:47 Uhr
Goto Top
Ich schätze, für www einen CNAME hinterlegt, aber für die Hauptdomain nicht. Dann wird die 1und1 Seite über dem A-Record geladen und die hat den X-Frame-Options-Header gesetzt, der verhindert das sie in einem iFrame geladen werden kann.
https://developer.mozilla.org/de/docs/Web/HTTP/Headers/X-Frame-Options
Mitglied: StefanKittel
StefanKittel 17.04.2019 um 09:33:43 Uhr
Goto Top
Moin,

das ist aktuell, und wird in Zukunft mehr werden, ein Sicherheitsproblem was der Browser auch anmeckert.
iFrames sind der perfekte Weg Informationen unterzuschmuggeln ohne dass der Benutzer davon weiß.
Außerdem sind iFrames nicht responsiv.

Stefan
Mitglied: caspi-pirna
caspi-pirna 17.04.2019 aktualisiert um 09:42:04 Uhr
Goto Top
Zitat von @Bem0815:

<VirtualHost *:80>
ServerName domain1.de
Redirect permanent / http://www.domain1.de/
</VirtualHost>

Müsste der Eintrag dann in eine separate .conf-Datei zu schreiben, oder als separaten Abschnitt in der bereits existierenden Datei?


Was mich wundert ist die Tatsache, dass die Meldung nur bei ohne "www" kommt, alle anderen Weiterleitungen.
Die DNS-Config ist für die Domain global, da wird nicht mehr zwischen mit und ohne "www" unterschieden.
Ich habe die DNS-Konfiguration noch ausgemistet (war noch ein A-Record drin) - jetzt sieht das so aus:
dns-records_minimiert

Und nun bekomm ich ne andere Fehlermeldung:
fehler

und ich bekomm die Domain mit "www" auch nicht angepingt (aufgelöst).
Mitglied: caspi-pirna
caspi-pirna 17.04.2019 um 09:44:48 Uhr
Goto Top
ich bekomme bei 1und1 den DNS-Record nur auf den CNAME mit www angelegt - ohne www lässt sich das nicht anlegen!
Mitglied: StefanKittel
StefanKittel 17.04.2019 um 09:49:05 Uhr
Goto Top
Zitat von @caspi-pirna:
ich bekomme bei 1und1 den DNS-Record nur auf den CNAME mit www angelegt - ohne www lässt sich das nicht anlegen!
Moin
ja, das kann 1und1 nicht.
1und1 ist halt nur Standard-Out-Of-The-Box. Besonders Flexibel sind die nicht.
Stefan
Mitglied: 139374
139374 17.04.2019 aktualisiert um 09:53:56 Uhr
Goto Top
Zitat von @caspi-pirna:

ich bekomme bei 1und1 den DNS-Record nur auf den CNAME mit www angelegt - ohne www lässt sich das nicht anlegen!
Dann haste Pech, und musst deinen eigenen Nameserver betreiben und bei 1und1 für die Domain angeben, oder die Domain woanders hin portieren.
Mitglied: caspi-pirna
caspi-pirna 17.04.2019 um 13:51:38 Uhr
Goto Top
ließe sich da was mit der Weiterleitung erschlagen?

Den CName mit "www" bekomme ich ja hin.
Und wenn ich dann noch die Weiterleitung dder "ohne-WWW-Domain" auf die mit www richte, sollte es doch passen, oder nicht?
Mitglied: 139374
139374 17.04.2019 aktualisiert um 14:01:51 Uhr
Goto Top
Kann man, ist aber ehrlich gesagt *würg*. Da das aber ohnehin offensichtlich nichts "firmenproduktives" wird ist auch das wurscht.
Mitglied: Bem0815
Bem0815 17.04.2019 um 14:10:07 Uhr
Goto Top
Probier mal beim erstellen des CNAMES bei 1und1 in das Feld Hostname in dem das "www" bereits vorab eingetragen ist ein @ einzutragen.
Mitglied: 139374
139374 17.04.2019 aktualisiert um 14:14:53 Uhr
Goto Top
Probier mal beim erstellen des CNAMES bei 1und1 in das Feld Hostname in dem das "www" bereits vorab eingetragen ist ein @ einzutragen.
Das geht wie er schon gesagt hat nicht:

screenshot

screenshot
Mitglied: Bem0815
Bem0815 17.04.2019 um 16:27:14 Uhr
Goto Top
Dann bleiben wohl nur 3 Optionen:

HTTP-Weiterleitung.
Das würde dann aber bedeuten, dass dann die Ziel Domain abc.spdns.de angezeigt wird und er dann für die subdomain abc.spdns.de ein Let's Encrypt Zertifikat braucht.

Anderer Nameserver

Oder gleich einfach einen Webspace mieten statt das ganze lokal mit einem DynDNS Dienst laufen zu lassen.
Mitglied: 139374
139374 17.04.2019 aktualisiert um 16:30:19 Uhr
Goto Top
Anderer Nameserver
Oder gleich einfach einen Webspace mieten statt das ganze lokal mit einem DynDNS Dienst laufen zu lassen.

Jepp, hab ich ihm ja auch schon vorgeschlagen.