• Infrastruktur 
  • Rechenzentren
  • Netze
  • Redundanz
  • Replikation
  • Monitoring
  • Backup
• Plattform 
  • Benutzer
  • Web-Paket
  • Domains
  • E-Mail
  • Datenbanken
  • TLS Zertifikate
  • Zonefile
  • htaccess
  • PHP
  • Logging
  • Backup
  • Wartungsfenster
  • SSH-Hostkeys
  • HSAdmin 
    • Syntax
    • Modul user
    • Modul domain
    • Modul mysqldb
    • Modul mysqluser
    • Modul postgresqldb
    • Modul postgresqluser
    • Modul emailaddress
    • Modul emailalias
    • Modul q
    • HSAdmin über Skripte steuern
    • HSAdmin-Webfrontend
  • Tutorial 
    • Einleitung
    • Erstes Einloggen und Änderung des Passworts
    • Domain-Benutzer anlegen
    • Domain anlegen und bestellen
    • Webspace einrichten
    • Hochladen des SSH-Keys
    • E-Mail einrichten
    • E-Mails senden und empfangen
    • Datenbank einrichten

TLS Zertifikate

Transport Layer Security (TLS) ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Die Vorgängerbezeichnung lautete Secure Sockets Layer (SSL).

Beim Anlegen einer Domain in HSAdmin kann als Domain-Option ein Let’s-Encrypt-Zertifikat erstellt werden (vgl. dazu die Abschnitte Domain in HSAdmin anlegen und Domain-Optionen . Daten können so ohne weitere Vorbereitung über HTTPS ausgeliefert werden.

Standardkonfiguration

Pro aufgeschalteter Domain ist ein Zertifikat möglich .

TLS-Inhalte werden durch die Verzeichnisse

• cgi-ssl
• fastcgi-ssl
• htdocs-ssl

von Nicht-TLS-Inhalten getrennt. Die Ordnerstruktur im Verzeichnis eines Domain-Admin wird in Abschnitt Ordnerstruktur beschrieben.

Mögliche Varianten

TLS-Seiten und Nicht-TLS-Seiten in einem Verzeichnis

Sollen TLS- und Nicht-TLS-Seiten innerhalb eines Verzeichnis verwaltet werden, können die TLS-Verzeichnisse gelöscht und symbolische Links auf Nicht-TLS Verzeichnisse angelegt werden. Dies gilt selektiv auch für Unterverzeichnisse. Symbolische Links erlauben es, Seiten mit und ohne TLS abzurufen.

Automatisch auf TLS

Soll nur auf bestimmten Seiten der Zugriff mit TLS erlaubt und automatisch auf TLS umgeschaltet werden, muss dies in einer entsprechenden .htaccess-Datei für die betroffenen Verzeichnisse konfiguriert werden.

Zertifikate einer Zertifizierungsstelle

Für die Installation eines Zertifikate einer Zertifizierungsstelle muss der Paket-Admin einen ›Private Key‹ und einen CSR (Certificate Signing Request) erzeugen. Die Vorgehensweise ist in der Regel auf den Webseiten der Zertifizierungsstelle beschrieben. Weitere Hinweise sind im Hostsharing Wiki unter TLS/SSL beschrieben.

Für die Aktivierung des Zertifikates wird ein Auftrag an service@hostsharing.net gesendet. Die Aktivierung des Zertifikats durch den Service ist kostenpflichtig.

Let´s Encrypt einrichten

Wenn Sie bei der Aufschaltung der Domain noch kein Let’s Encrypt Zertifikat eingerichtet haben, können Sie dies nachträglich erledigen.

Melden Sie sich mit dem Benutzernamen Ihres Paket-Admin beim Webfrontend von HSAdmin unter https://admin.hostsharing.net an. Wählen Sie im linken Feld den Eintrag Web-Paket aus. Im rechten Feld aktivieren Sie den Reiter Domain und wählen anschließend die Domain aus, für die Sie Let's Encrypt einrichten möchten.

Klicken Sie anschließend das Editier-Symbol Ausgewählten Eintrag bearbeiten, um das Bearbeitungsmenü zu öffnen:

Setzen Sie anschließend im Feld Domain-Optionen das Häkchen bei Let's Encrypt-Zertifikat. Speichern Sie die Einstellung mit einem Klick auf den Button OK.

Sie können jede Subdomain, für die ein Let’s-Encrypt-Zertifikat erstellt werden soll, einzeln in der Liste gültige Subdomains eintragen. Alternativ können Sie das Wildcard-Symbol * benutzen; dann wird ein Wildcard-Zertifikat ausgestellt, das für jede leichtgewichtige Subdomain gültig ist. Für einzeln aufgeschaltete Subdomains müssen Sie Let’s Encrypt gesondert aktivieren.

Bis zur Zertifizierung vergehen normalerweise nur 2-3 Minuten, es kann jedoch auch bis zu 36 Std dauern.

Wenn die Domain oder Subdomain nicht bei Hostsharing verwaltet wird, muss beim Domainverwalter eine Nameserver-Delegation auf die drei DNS-Server von Hostsharing eingerichtet sein, damit Let’s-Encrypt-Zertifikate genutzt werden können. Die Nameserver, die an der entsprechenden Stelle eingetragen werden müssen, heißen dns1.hostsharing.net, dns2.hostsharing.net und dns3.hostsharing.net.

Filemapping ohne TLS

In der folgenden Grafik ist der Entscheidungsweg beschrieben, der durchlaufen wird, um einem anfragenden Browser die richtige Datei auszuliefern. TLS ist nicht aktiv.

Zunächst wird für die Anfrage http://www.example.com/<path> der Virtual Host gesucht, der zum FQDN (Fully Qualified Domain Name) passt. Anschließend entscheiden folgende Fragen über den weiteren Verlauf des Entscheidungswegs.

1. Starten wir mit cgi-bin?

   a. Ja: Das Verzeichnis cgi-bin wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.

   b. Nein: Weiter zu Frage 2

2. Starten wir mit fastcgi?

   a. Ja: Das Verzeichnis fastcgi wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.

   b. Nein aber es gibt einen FQDN-Treffer, deshalb wird htdocs zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert. Ist das nicht der Fall geht es weiter zu Frage 3.

3. Gibt es eine passende Sub-Domain?

   a. Ja: Das Verzeichnis subs wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.

   b. Nein: Weiter zu Frage 4

4. Ist das Verzeichnis htdocs als Fallback konfiguriert?

   a. Ja: Das Verzeichnis htdocs wird zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert.

   b. Nein: Es wurde nichts gefunden. Wir liefern die Fehlermeldung 404 aus.

Filemapping mit TLS

In der folgenden Grafik ist der Entscheidungsweg beschrieben, der durchlaufen wird, um einem anfragenden Browser die richtige Datei auszuliefern. Die Website wird über https aufgerufen, sodass TLS aktiv ist.

Zunächst wird für die Anfrage https://www.example.com/<path> der Virtual Host gesucht, der zum FQDN (Fully Qualified Domain Name) passt. Anschließend entscheiden folgende Fragen über den weiteren Verlauf des Entscheidungswegs.

1. Starten wir mit cgi-ssl?

   a. Ja: Das Verzeichnis cgi-ssl wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.

   b. Nein: Weiter zu Frage 2

2. Starten wir mit fastcgi-ssl?

   a. Ja: Das Verzeichnis fastcgi-ssl wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.

   b. Nein aber es gibt einen FQDN-Treffer, deshalb wird htdocs-ssl zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert. Ist das nicht der Fall geht es weiter zu Frage 3.

3. Gibt es eine passende Sub-Domain?

   a. Ja: Das Verzeichnis subs-ssl wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.

   b. Nein: Weiter zu Frage 4

4. Ist das Verzeichnis htdocs-ssl als Fallback konfiguriert?

   a. Ja: Das Verzeichnis htdocs-ssl wird zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert.

   b. Nein: Es wurde nichts gefunden. Wir liefern die Fehlermeldung 404 aus.