Zertifikat wiki.ffmsl.de

MPW · 10. März 2018 um 13:00

Moin,

@kgbvax, @Parad0x, dem Wiki fehlen ein paar Zertifikate:

https://wiki.ffmsl.de gilt als nicht sicher
https://wiki.freifunk-muensterland.net/ gilt als nicht sicher
https://wiki.freifunk-muensterland.net gilt als nicht sicher

Die beiden unteren sind vllt. nicht ganz so wichtig, aber eine Weiterleitung bzw. ein passendes Zeritifkat für ffmsl.de zu haben wäre schon gut.

Grüße
Matthias

kgbvax · 10. März 2018 um 14:22

Verstehe das “fehlen” nicht: Die URL ist wiki.freifunk-muensterland.de und da passt das Zertifikat.

MPW · 10. März 2018 um 14:31

Korrekt, aber nach unserer DNS-Strategie sollten freifunk-muensterland.de, freifunk-muensterland.net und freifunk-muensterland.org sowie ffmsl.de identisch funktionieren, also auch für alle Subdomänen.

Für die allermeisten, wenn nicht alle Dienste ist das auch der Fall. Für das Wiki funktioniert nur wiki.freifunk-muensterland.de, nicht die anderen TLDs.

Manu_2o16 · 10. März 2018 um 19:50

Im Zweifelsfalle eine HTTP-Umleitung auf wiki.freifunk-muensterland.de oder funktioniert dies nicht aufgrund der restrict https? Gilt das nur für die Subdomain, die den Browser anweist oder für die gesamte?
Eine http-Umleitung ist ja ohne Übertragung von sensiblen Daten verbunden.

MPW · 13. März 2018 um 19:50

Dieses Thema wurde automatisch 3 Tage nach der letzten Antwort geschlossen. Es sind keine neuen Nachrichten mehr erlaubt.

MPW · 20. März 2018 um 11:31

Wurde noch nicht gelöst.

fll · 20. März 2018 um 13:05

Seit dem 13.3.18 gibt es bei Let’s Encrypt Wildcard Zertifikate, die alle Subdomains mit einschließen. Habs mir selbst noch nicht angeguckt sondern nur davon gelesen, aber das sollte das ganze doch nochmal vereinfachen.

EDIT: Bei genauerer Betrachtung machen Wildcard Zertifikate eigentlich nur Sinn, falls man ständig wechselnde Subdomains hat. Solange die Subdomains konstant bleiben kann man wie bisher einfach ein Zertifikat anfordern, das alle Sub-/Domains einschließt.

kgbvax · 23. März 2018 um 22:17

Sie sind falsch abgebogen mein Herr, hier gibt es keine Subdomains.

kgbvax · 23. März 2018 um 22:18

Wie vielleicht schon deutlich wurde: Ich sehe da auch nichts zu lösen.

MPW · 23. März 2018 um 22:49

Die Wildcardzertifikate hatten wir am Mittwoch besprochen und uns dagegen entschieden: https://wiki.freifunk-muensterland.de/display/FREIF/2018-03-21+-+Protokoll+Freifunk-Treffen#id-2018-03-21-ProtokollFreifunk-Treffen-Wildcard-ZertifikateLet’s-Encrypt

Guckst du einfach hier, siehe Adressleiste: Bildschirmfoto%20vom%202018-03-23%2023-48-43

Wenn da im Hintergrund ein ACME-Skript werkelt können die zusätzlichen TLDs (.org, .net, freifunk-muenster.de und ffmsl.de) einfach zusätzlich im Aufruf mit angegeben werden und werden dann automatisch im selben Ablauf mitgeneriert.

MPW · 16. April 2018 um 11:23

Ich hab erstmal angefangen die Weiterleitungen zu konfigurieren:

http://wiki.freifunk-muensterland.de -> https://freifunk-muensterland.de ✓
http://wiki.freifunk-muenster.de -> https://freifunk-muensterland.de ✓

Aus Gründen, die ich überhaupt nicht verstehe weigert sich dieser Apache aber .org, .net und ffmsl.de weiterzuleiten, obwohl da explizit steht, dass er das tun soll:

<VirtualHost *:80>
	Redirect permanent /secure https://wiki.freifunk-muensterland.de
	ServerName wiki.freifunk-muensterland.de
	ServerAlias wiki.freifunk-muensterland.org
	ServerAlias wiki.freifunk-muenster.de
	ServerAlias wiki.freifunk-muensterland.net
	ServerAlias wiki.ffmsl.de
	ServerAdmin info@freifunk-muensterland.de


	ErrorLog ${APACHE_LOG_DIR}/error.log
	LogLevel alert rewrite:trace6
	CustomLog ${APACHE_LOG_DIR}/access.log combined

	RewriteEngine on
	RewriteCond %{HTTPS} off [OR]
	RewriteCond %{HTTP:X-Forwarded-Proto} !https
	RewriteRule ^(.*) https://wiki.freifunk-muensterland.de/$1 [NC,R=301,L]
</VirtualHost>

Sieht jemand den Fehler? Das unverständliche ist, dass unter wiki.freifunk-muensterland.org die Testseite von Apache ausgeliefert wird, ohne dass auch nur ein Eintrag in der access.log landet.

@Adminteam

Viele Grüße
Matthias

corny456 · 16. April 2018 um 11:29

Damit er Rewritet musst du ihm sagen das er das tun soll…

MPW · 16. April 2018 um 12:51

Laut stackoverflow-Forum sollte das die letzte Zeile tun…

corny456 · 16. April 2018 um 12:53

Also wiki.freifunk-muensterland.org leitet bei mir brav auf https://*.de um…
die anderen auch… nur die .net macht nen Cert fehler…

MPW · 16. April 2018 um 12:59

Hast du nochmal was geändert? Hatte es vorhin x mal probiert? Ich tippe mal auf ein Problem mit dem Cache. Eigentlich sollte Strg + F5 doch den Cache umgehen. Klappt wohl nicht zuverlässig. Notiz an mich selbst: Nur noch im Privatmodus Internetzeugs testen.

Net geht bei mir, vermutlich hattest du noch https davor.

Gut, nächster Schritt ist jetzt die richtigen Zertifikate da reinzuladen.

Mir ist nicht ganz klar, ob ich einfach alle da reinknallen kann oder ob ich die einzeln nach Host-Namen zuordnen muss.

corny456 · 16. April 2018 um 13:08

Wie meinen? Du kannst auch das aktuelle Cert durch eins ersetzen in denen Alle Domains sind…

MPW · 16. April 2018 um 13:08

Genau. Das meinte ich.

Ich erstelle eines, in dem alle drin sind. Und dann kommt das in den Apachen.

Kennst du 'nen Cert-Skript, was das für Apache direkt tut?

corny456 · 16. April 2018 um 13:09

Genau.

MPW · 16. April 2018 um 13:09

^^