Zertifikat wiki.ffmsl.de


#1

Moin,

@kgbvax, @Parad0x, dem Wiki fehlen ein paar Zertifikate:

Die beiden unteren sind vllt. nicht ganz so wichtig, aber eine Weiterleitung bzw. ein passendes Zeritifkat für ffmsl.de zu haben wäre schon gut.

Grüße
Matthias


#2

Verstehe das “fehlen” nicht: Die URL ist wiki.freifunk-muensterland.de und da passt das Zertifikat.


#3

Korrekt, aber nach unserer DNS-Strategie sollten freifunk-muensterland.de, freifunk-muensterland.net und freifunk-muensterland.org sowie ffmsl.de identisch funktionieren, also auch für alle Subdomänen.

Für die allermeisten, wenn nicht alle Dienste ist das auch der Fall. Für das Wiki funktioniert nur wiki.freifunk-muensterland.de, nicht die anderen TLDs.


#4

Im Zweifelsfalle eine HTTP-Umleitung auf wiki.freifunk-muensterland.de oder funktioniert dies nicht aufgrund der restrict https? Gilt das nur für die Subdomain, die den Browser anweist oder für die gesamte?
Eine http-Umleitung ist ja ohne Übertragung von sensiblen Daten verbunden.


#5

Dieses Thema wurde automatisch 3 Tage nach der letzten Antwort geschlossen. Es sind keine neuen Nachrichten mehr erlaubt.


#6

#7

Wurde noch nicht gelöst.


#8

Seit dem 13.3.18 gibt es bei Let’s Encrypt Wildcard Zertifikate, die alle Subdomains mit einschließen. Habs mir selbst noch nicht angeguckt sondern nur davon gelesen, aber das sollte das ganze doch nochmal vereinfachen.

EDIT: Bei genauerer Betrachtung machen Wildcard Zertifikate eigentlich nur Sinn, falls man ständig wechselnde Subdomains hat. Solange die Subdomains konstant bleiben kann man wie bisher einfach ein Zertifikat anfordern, das alle Sub-/Domains einschließt.


#9

Sie sind falsch abgebogen mein Herr, hier gibt es keine Subdomains.


#10

Wie vielleicht schon deutlich wurde: Ich sehe da auch nichts zu lösen.


#11

Die Wildcardzertifikate hatten wir am Mittwoch besprochen und uns dagegen entschieden: https://wiki.freifunk-muensterland.de/display/FREIF/2018-03-21+-+Protokoll+Freifunk-Treffen#id-2018-03-21-ProtokollFreifunk-Treffen-Wildcard-ZertifikateLet’s-Encrypt

Guckst du einfach hier, siehe Adressleiste:

Wenn da im Hintergrund ein ACME-Skript werkelt können die zusätzlichen TLDs (.org, .net, freifunk-muenster.de und ffmsl.de) einfach zusätzlich im Aufruf mit angegeben werden und werden dann automatisch im selben Ablauf mitgeneriert.


#12

Ich hab erstmal angefangen die Weiterleitungen zu konfigurieren:

http://wiki.freifunk-muensterland.de -> https://freifunk-muensterland.de
http://wiki.freifunk-muenster.de -> https://freifunk-muensterland.de

Aus Gründen, die ich überhaupt nicht verstehe weigert sich dieser Apache aber .org, .net und ffmsl.de weiterzuleiten, obwohl da explizit steht, dass er das tun soll:

<VirtualHost *:80>
	Redirect permanent /secure https://wiki.freifunk-muensterland.de
	ServerName wiki.freifunk-muensterland.de
	ServerAlias wiki.freifunk-muensterland.org
	ServerAlias wiki.freifunk-muenster.de
	ServerAlias wiki.freifunk-muensterland.net
	ServerAlias wiki.ffmsl.de
	ServerAdmin info@freifunk-muensterland.de


	ErrorLog ${APACHE_LOG_DIR}/error.log
	LogLevel alert rewrite:trace6
	CustomLog ${APACHE_LOG_DIR}/access.log combined

	RewriteEngine on
	RewriteCond %{HTTPS} off [OR]
	RewriteCond %{HTTP:X-Forwarded-Proto} !https
	RewriteRule ^(.*) https://wiki.freifunk-muensterland.de/$1 [NC,R=301,L]
</VirtualHost>

Sieht jemand den Fehler? Das unverständliche ist, dass unter wiki.freifunk-muensterland.org die Testseite von Apache ausgeliefert wird, ohne dass auch nur ein Eintrag in der access.log landet.

@Adminteam

Viele Grüße
Matthias


#13

Damit er Rewritet musst du ihm sagen das er das tun soll…


#14

Laut stackoverflow-Forum sollte das die letzte Zeile tun…


#15

Also wiki.freifunk-muensterland.org leitet bei mir brav auf https://*.de um…
die anderen auch… nur die .net macht nen Cert fehler…


#16

Hast du nochmal was geändert? Hatte es vorhin x mal probiert? Ich tippe mal auf ein Problem mit dem Cache. Eigentlich sollte Strg + F5 doch den Cache umgehen. Klappt wohl nicht zuverlässig. Notiz an mich selbst: Nur noch im Privatmodus Internetzeugs testen.

Net geht bei mir, vermutlich hattest du noch https davor.

Gut, nächster Schritt ist jetzt die richtigen Zertifikate da reinzuladen.

Mir ist nicht ganz klar, ob ich einfach alle da reinknallen kann oder ob ich die einzeln nach Host-Namen zuordnen muss.


#17

Wie meinen? Du kannst auch das aktuelle Cert durch eins ersetzen in denen Alle Domains sind…


#18

Genau. Das meinte ich.

Ich erstelle eines, in dem alle drin sind. Und dann kommt das in den Apachen.

Kennst du 'nen Cert-Skript, was das für Apache direkt tut?


#19

Genau.


#20

^^