Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Linux - SSL Private Key absichern

Mitglied: atomique

atomique (Level 1) - Jetzt verbinden

24.05.2017, aktualisiert 20:12 Uhr, 913 Aufrufe, 5 Kommentare

Hallo zusammen,

folgendes Szenario: Ich habe einen Server mit Apache, Seafile, XMPP-Server usw. und ich aktualisiere gerade mein SSL-Zertifikat. Da bspw. der XMPP-Server ein Zertifikat benötigt in welchem Privatekey, Zertifikat und Intermediate als Chain hinterlegt sein müssen, frage ich mich wie ich das am Besten absichere. Was nutzt ihr für Dateisystemberechtigungen um eine solche Datei gegen Schindluder abzusichern und aber gleichzeitig zu garantieren, dass die Server am Laufen bleiben und die Datei lesen können um die Verschlüsselung anbieten zu können?

Folgende Überlegungen habe ich schon gemacht:

- Erstellen einer Gruppe sslAccess. Hier die ausführenden Benutzer der jeweiligen Prozesse in die Gruppe aufnehmen.
- chmod 755 auf das Zertifikat (oder doch nur 744?)
- chown root:sslAccess auf die Datei um root als Besitzer und die Gruppe sslAccess als lesend zu hinterlegen.

Ist das so in Ordnung? Wie betreibt ihr das? Ich würde die Zertifikate gerne "Zentral" im Server ablegen und dann nur noch auf das eine Verzeichnis zeigen (in den Configs). Ich bin auch offen für links mit Tipps =) Hauptsache da kommt mal ein System rein!

Vielen Dank für eure Hilfe vorab und einen schönen Abend

EDIT: Ich verwende Debian =)

Gruß Atomique
Mitglied: Pjordorf
24.05.2017, aktualisiert um 20:44 Uhr
Hallo,

Zitat von atomique:
Ich habe einen Server mit Apache, Seafile, XMPP-Server usw.
Und der ist ausm Internet erreichbar oder nur im internen LAN?

frage ich mich wie ich das am Besten absichere.
Da muss doch wirklich nicht alles drauf sein und ausm Internet erreichbar oder?

Gruß,
Peter
Bitte warten ..
Mitglied: atomique
24.05.2017 um 20:47 Uhr
Über NAT sind die nötigen Ports durch meine PfSense an die Linuxmaschine durchgereicht. Der Server ist also über das Internet erreichbar, deshalb ja das SSL-Zertifikat =)
Bitte warten ..
Mitglied: horstvogel
24.05.2017, aktualisiert um 22:50 Uhr
Hallo atomique,
fürs Zertifikat Paket Acme Certificates auf der PFsense

Für meine Nextcloud und einen Apache Tomcat dann den Squid Reverse Proxy,
der Reverse Proxy stellt dann das let's encrypt Zertifikat zur Verfügung

Mein XMPP Ejabberd ist derzeit noch über NAT durchgereicht, da muss ich dann auch händisch das Zertifikat erzeugen. Mindestens den https Upload könnte/kann man bestimmt auch noch über den Reverse Proxy verwenden.

Zusätzlich ist der Reverse Proxy nur über ein entsprechendes Client Certificate CA erreichbar.

Über den pfBlockerNG ist nur Deutschland "zugelassen"


Um den Ejabberd muss ich mich noch kümmern.

Ich bin aber noch voll in der Lernphase.
Also ähnlich Fragestellungen haben/hatten wir.

der Horst
Bitte warten ..
Mitglied: atomique
24.05.2017 um 23:11 Uhr
Hi horstvogel,

nen dickes Danke an deine Antwort. Mir ist aber leider noch nicht ganz ersichtlich wie du dem Apache beibringst wo dann der privatekey liegt? Oder wird das durch ACME abgedeckt?

Gruß Atomique
Bitte warten ..
Mitglied: horstvogel
24.05.2017, aktualisiert um 23:23 Uhr
Zitat von atomique:

privatekey liegt? Oder wird das durch ACME abgedeckt?


Richtig, der ACME erzeugt ein Zertifikat und der Apache... Server kann ein selbst erzeugtes Zertifikat nutzen.
Ich wollte für die Einrichtung schon lange mal eine Anleitung schreiben, Bilder hatte ich schon fertig, dann leider dummerweise gelöscht.

Auszug aus dem Reverse Proxy Einstellungen. Nach außen hat man dann für diverse Webserver das "gültige" Zertifikat, der jeweilige Server kann dann sein eigenes "ungültiges" verwenden.

9 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Ähnliche Inhalte
Debian
(Linux) SSL Update auf 1.2
Frage von lord-iconDebian3 Kommentare

Moin, ich hab Debian mit SSL 1.0.1t am laufen. Ein Plugin, wird nun aber zum 1.7 nur noch 1.2 ...

Apache Server

Linux - Apache, Tomcat, Java Keystore, SSL

Frage von Obi-wan-BelixApache Server1 Kommentar

Hallo zusammen, ich bin neu im Serverumfeld und habe bei einem Projekt schlichtweg Verständnisschwierigkeiten. Ich habe mich im Netz ...

Netzwerke

Hausvernetzung (privat) - PoE+

gelöst Frage von 107430Netzwerke4 Kommentare

Guten Tagen alle zusammen, ich bin gerade dabei das eigene Haus zu vernetzen und möchte gerne ein paar Geräte ...

Netzwerke

Privat LAN (intranet)

Frage von flashbackxNetzwerke3 Kommentare

Hallo alle zusammen, ich bereite für meine Bachelor-Arbeit ein Private Netzwerk vor. Aktuelle stand: - Zwei VMs (Windows Server) ...

Neue Wissensbeiträge
Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 3 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Sicherheit

Zeitenwende: Mehr pot. Mac- (Heise Wortlaut) als Windowsbedrohungen

Information von certifiedit.net vor 4 TagenSicherheit4 Kommentare

Wir hatten es ja hier erst letztens, dass OS bzw Mac auch nicht der Weisheit letzter Schluss ist, nun ...

Heiß diskutierte Inhalte
Netzwerke
Instagram Fake Account
Frage von NurangnNetzwerke18 Kommentare

Hey Leute, Ich bin neu hier und hätte eine Frage. Und zwar werden mein Freund und ich von Mehreren ...

Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement15 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Server-Hardware
Verkaufe mein HomeLab - Hat jemand Interesse?
Frage von BirdyBServer-Hardware13 Kommentare

Hallo miteinander, auf Grund eines bald bevorstehenden Umzugs, chronischer Nichtnutzung und des sehr eingeschränkten FAF (Frauen-Akzeptanz-Faktors) möchte ich mein ...

Netzwerke
Frage zu Spanning-Tree-Layout
Frage von LordGurkeNetzwerke11 Kommentare

Hallo zusammen, ich habe aktuell das Problem, dass in einem relativ frisch aufgebauten Netzwerk mit redundanten Pfaden und MSTP ...