Zum Inhalt springen
Zuletzt geändert von Jens Gruber am 2022/05/25 09:01
Von Version 11.1
bearbeitet von Jonas Mayer
am 2022/05/24 19:19
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 7.1
bearbeitet von Christian Germann
am 2022/05/03 12:01
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.jonasmayer@sbede
1 +XWiki.cge@sbede
Inhalt
... ... @@ -1,21 +1,20 @@
1 -(% style="color:#000000" %)Damit der Webzugriff von Kopano über ein Zertifikat abgesichert ist, muss dieses erst auf dem LogoDIDACT-Server generiert werden. In folgendem Artikel erfahren Sie, was für Voraussetzungen es gibt und über welche Wege ein Zertifikat generiert werden kann.
1 +(% style="color:#000000" %)Damit der Webzugriff von Kopano über ein Zertifikat abgesichert ist, muss dieses erst auf dem logoDIDACT-Server generiert werden. In folgendem Artikel erfahren Sie, was für Vorrausetzungen es gibt und über welche Wege ein Zertifikat generiert werden kann.
2 2  
3 3  
4 -===== (% style="color:#000000" %)__Voraussetzungen__(%%) =====
4 +==== (% style="color:#000000" %)__**Vorrausetzungen**__(%%) ====
5 5  
6 -(% style="color:#000000" %)Damit ein Zertifikat generiert werden kann, müssen folgende Ports vom vorgeschalteten Router (WAN) an den logoDIDACT-Server weitergeleitet werden:
7 7  
7 +===== (% style="color:#000000" %)__Portweiterleitung__(%%) =====
8 +
9 +(% style="color:#000000" %)Damit ein Zertifikat generiert werden kann, müssen folgende Ports vom Router (WAN) an den logoDIDACT-Server weitergeleitet werden:
10 +
8 8  {{code language="bash"}}
9 9  WAN (Internet) TCP-Port 80 -> auf externe IP-Adresse des logoDIDACT-Servers [http]
10 10  WAN (Internet) TCP-Port 443 -> auf externe IP-Adresse des logoDIDACT-Servers [https]
11 11  {{/code}}
12 12  
13 -==== ====
16 +==== ====
14 14  
15 -===== =====
16 -
17 -===== =====
18 -
19 19  ===== __Freigabe von Kopano über rev-proxy__ =====
20 20  
21 21  (% style="color:#000000" %)Erweitern Sie die ##{{code}}/etc/logodidact/hosts/rev-proxy/revproxy.conf{{/code}}## im Puppeteer-LXC um folgende Zeilen, um Kopano über den rev-proxy freizugeben, falls dies noch nicht erfolgt ist.
... ... @@ -22,7 +22,7 @@
22 22  
23 23  {{code language="bash"}}
24 24  [ReverseProxy kopano.ShortName.logoip.de]
25 -Url https://kopano
24 +Url https://kopano
26 26  Template kopano
27 27  {{/code}}
28 28  
... ... @@ -37,10 +37,11 @@
37 37  
38 38  ===== (% style="color:#000000" %)__Split-DNS__(%%) =====
39 39  
40 -(% style="color:#000000" %)Hintergrund für Split-DNS ist ein oftmals fehlerhaftes NAT-Loopback am Router. Dies stellt sicher, dass externe Adressen wie z.b. kopano.shortname.logoip.de nicht zum Router geschickt werden, sondern zum internen rev-proxy weitergeleitet werden. Dadurch wird der Router als Fehlerquelle ausgeschlossen und alle Benutzernnen im Schulnetz wie auch Zuhause die gleiche URL für den Zugriff verwenden.
39 +(% style="color:#000000" %)Split-DNS muss im logosrv eingerichtet werden und sorgt für ein zuverlässiges beantragen des SSL-Zertifikates. Hintergrund für Split-DNS ist ein oftmals fehlerhaftes NAT-Loopback am Router. Dies sorgt dar dass nicht versucht wird, interne Adressen auch intern aufzulösen sondern ins Internet geschickt werden.
41 41  
42 -(% style="color:#000000" %)Führen Sie folgende Schritte für die Einrichtung durch, falls noch nicht erfolgt.
43 43  
42 +(% style="color:#000000" %)Führen Sie folgende Schritte für die Einrichtung durch:
43 +
44 44  (% style="color:#000000" %)Öffnen Sie die Datei "named.conf.local" im logosrv:
45 45  
46 46  {{code language="bash"}}
... ... @@ -60,7 +60,7 @@
60 60  {{/code}}
61 61  
62 62  
63 -(% style="color:#000000" %)Öffnen Sie die referenzierte Datei {{box}}db.dynip{{/box}} im logosrv:
63 +(% style="color:#000000" %)Öffnen Sie die Datei "db.dynip" im logosrv:
64 64  
65 65  {{code language="bash"}}
66 66  root@logosrv:~ # vim /etc/bind/db.dynip
... ... @@ -67,7 +67,7 @@
67 67  {{/code}}
68 68  
69 69  
70 -(% style="color:#000000" %)Passen Sie gegebenenfalls die IP-Adresse in den letzten beiden Zeilen an, als Ziel muss auf den Rev-Proxy Container verwiesen werden. Im Standard lautet dessen IP-Adresse "172.28.28.27":
70 +(% style="color:#000000" %)Passen Sie gegebenenfalls die IP des Rev-Proxy Containers an. Im Standard ist diese die "172.28.28.27":
71 71  
72 72  {{code language="bash"}}
73 73  $TTL 1h
... ... @@ -82,7 +82,7 @@
82 82                   NS      ns1.schule.local.
83 83                   NS      ns2.schule.local.
84 84  
85 -@                A       172.28.28.27
85 +                 A       172.28.28.27
86 86  *                A       172.28.28.27
87 87  {{/code}}
88 88  
... ... @@ -96,7 +96,7 @@
96 96  
97 97  ==== (% style="color:#000000" %)**__SSL-Zertifikat über Tool acmetool oder acme.sh anfordern__**(%%) ====
98 98  
99 -(% style="color:#000000" %)Nach Schaffung der technischen Voraussetzungen können Sie das Let's Encrypt-Zertifikat anfordern. Je nach verwendeter Software/Serverstand können Sie die folgenden 2 Wege nutzen:
99 +(% style="color:#000000" %)Nach Schaffung der technischen Vorrausetzungen können Sie das Let's Encrypt-Zertifikat anfordern. Je nach verwendeter Software/Serverstand können Sie die folgenden 2 Wege nutzen:
100 100  
101 101  
102 102  ===== (% style="color:#000000" %)__acmetool__(%%) =====