TLS Zertifikate
Transport Layer Security (TLS) ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Die Vorgängerbezeichnung lautete Secure Sockets Layer (SSL).
Beim Anlegen einer Domain in HSAdmin kann als Domain-Option ein Let’s-Encrypt-Zertifikat erstellt werden (vgl. dazu die Abschnitte Domain in HSAdmin anlegen und Domain-Optionen . Daten können so ohne weitere Vorbereitung über HTTPS ausgeliefert werden.
Standardkonfiguration
Pro aufgeschalteter Domain ist ein Zertifikat möglich .
TLS-Inhalte werden durch die Verzeichnisse
- cgi-ssl
- fastcgi-ssl
- htdocs-ssl
von Nicht-TLS-Inhalten getrennt. Die Ordnerstruktur im Verzeichnis eines Domain-Admin wird in Abschnitt Ordnerstruktur beschrieben.
Mögliche Varianten
TLS-Seiten und Nicht-TLS-Seiten in einem Verzeichnis
Sollen TLS- und Nicht-TLS-Seiten innerhalb eines Verzeichnis verwaltet werden, können die TLS-Verzeichnisse gelöscht und symbolische Links auf Nicht-TLS Verzeichnisse angelegt werden. Dies gilt selektiv auch für Unterverzeichnisse. Symbolische Links erlauben es, Seiten mit und ohne TLS abzurufen.
Automatisch auf TLS
Soll nur auf bestimmten Seiten der Zugriff mit TLS erlaubt und automatisch auf TLS umgeschaltet werden, muss dies in einer entsprechenden .htaccess-Datei für die betroffenen Verzeichnisse konfiguriert werden.
Zertifikate einer Zertifizierungsstelle
Für die Installation eines Zertifikate einer Zertifizierungsstelle muss der Paket-Admin einen ›Private Key‹ und einen CSR (Certificate Signing Request) erzeugen. Die Vorgehensweise ist in der Regel auf den Webseiten der Zertifizierungsstelle beschrieben. Weitere Hinweise sind im Hostsharing Wiki unter TLS/SSL beschrieben.
Für die Aktivierung des Zertifikates wird ein Auftrag an service@hostsharing.net gesendet. Die Aktivierung des Zertifikats durch den Service ist kostenpflichtig.
Let´s Encrypt einrichten
Wenn Sie bei der Aufschaltung der Domain noch kein Let’s Encrypt Zertifikat eingerichtet haben, können Sie dies nachträglich erledigen.
Melden Sie sich mit dem Benutzernamen Ihres Paket-Admin beim Webfrontend von HSAdmin unter https://admin.hostsharing.net an.
Wählen Sie im linken Feld den Eintrag Web-Paket
aus.
Im rechten Feld aktivieren Sie den Reiter Domain
und wählen anschließend die Domain aus, für die Sie Let's Encrypt einrichten möchten.
Klicken Sie anschließend das Editier-Symbol Ausgewählten Eintrag bearbeiten
, um das Bearbeitungsmenü zu öffnen:
Setzen Sie anschließend im Feld Domain-Optionen
das Häkchen bei Let's Encrypt-Zertifikat
.
Speichern Sie die Einstellung mit einem Klick auf den Button OK
.
Sie können jede Subdomain, für die ein Let’s-Encrypt-Zertifikat erstellt werden soll, einzeln in der Liste gültige Subdomains
eintragen.
Alternativ können Sie das Wildcard-Symbol *
benutzen; dann wird ein Wildcard-Zertifikat ausgestellt, das für jede leichtgewichtige Subdomain gültig ist.
Für einzeln aufgeschaltete Subdomains müssen Sie Let’s Encrypt gesondert aktivieren.
Bis zur Zertifizierung vergehen normalerweise nur 2-3 Minuten, es kann jedoch auch bis zu 36 Std dauern.
Wenn die Domain oder Subdomain nicht bei Hostsharing verwaltet wird, muss beim Domainverwalter eine Nameserver-Delegation auf die drei DNS-Server von Hostsharing eingerichtet sein, damit Let’s-Encrypt-Zertifikate genutzt werden können.
Die Nameserver, die an der entsprechenden Stelle eingetragen werden müssen, heißen dns1.hostsharing.net
, dns2.hostsharing.net
und dns3.hostsharing.net
.
Filemapping ohne TLS
In der folgenden Grafik ist der Entscheidungsweg beschrieben, der durchlaufen wird, um einem anfragenden Browser die richtige Datei auszuliefern. TLS ist nicht aktiv.
Zunächst wird für die Anfrage http://www.example.com/<path>
der Virtual Host gesucht, der zum FQDN (Fully Qualified Domain Name) passt.
Anschließend entscheiden folgende Fragen über den weiteren Verlauf des Entscheidungswegs.
-
Starten wir mit cgi-bin?
a. Ja: Das Verzeichnis
cgi-bin
wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.b. Nein: Weiter zu Frage 2
-
Starten wir mit fastcgi?
a. Ja: Das Verzeichnis
fastcgi
wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.b. Nein aber es gibt einen FQDN-Treffer, deshalb wird
htdocs
zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert. Ist das nicht der Fall geht es weiter zu Frage 3. -
Gibt es eine passende Sub-Domain?
a. Ja: Das Verzeichnis
subs
wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.b. Nein: Weiter zu Frage 4
-
Ist das Verzeichnis
htdocs
als Fallback konfiguriert?a. Ja: Das Verzeichnis
htdocs
wird zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert.b. Nein: Es wurde nichts gefunden. Wir liefern die Fehlermeldung 404 aus.
Filemapping mit TLS
In der folgenden Grafik ist der Entscheidungsweg beschrieben, der durchlaufen wird, um einem anfragenden Browser die richtige Datei auszuliefern.
Die Website wird über https
aufgerufen, sodass TLS aktiv ist.
Zunächst wird für die Anfrage https://www.example.com/<path>
der Virtual Host gesucht, der zum FQDN (Fully Qualified Domain Name) passt.
Anschließend entscheiden folgende Fragen über den weiteren Verlauf des Entscheidungswegs.
-
Starten wir mit cgi-ssl?
a. Ja: Das Verzeichnis
cgi-ssl
wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.b. Nein: Weiter zu Frage 2
-
Starten wir mit fastcgi-ssl?
a. Ja: Das Verzeichnis
fastcgi-ssl
wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.b. Nein aber es gibt einen FQDN-Treffer, deshalb wird
htdocs-ssl
zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert. Ist das nicht der Fall geht es weiter zu Frage 3. -
Gibt es eine passende Sub-Domain?
a. Ja: Das Verzeichnis
subs-ssl
wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.b. Nein: Weiter zu Frage 4
-
Ist das Verzeichnis
htdocs-ssl
als Fallback konfiguriert?a. Ja: Das Verzeichnis
htdocs-ssl
wird zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert.b. Nein: Es wurde nichts gefunden. Wir liefern die Fehlermeldung 404 aus.