Zum Inhalt springen
Zuletzt geändert von Jens Gruber am 2022/05/25 09:01
Von Version 19.1
bearbeitet von Jens Gruber
am 2022/05/25 09:01
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 7.1
bearbeitet von Christian Germann
am 2022/05/03 12:01
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.JensGruber@sbede
1 +XWiki.cge@sbede
Inhalt
... ... @@ -1,14 +1,12 @@
1 -(% style="color:#000000" %)Damit Webzugriffe auf Kopano über ein Zertifikat abgesichert sind, muss dieses zunächst auf dem LogoDIDACT-Server beantragt werden. Dies ist insbesondere für die Nutzung von Z-Push (ActiveSync-Protokoll) von hoher Relevanz.
2 -In diesem Artikel erfahren Sie, welche Voraussetzungen es gibt und wie ein signiertes Let's Encrypt Zertifikat generiert werden kann.
1 +(% style="color:#000000" %)Damit der Webzugriff von Kopano über ein Zertifikat abgesichert ist, muss dieses erst auf dem logoDIDACT-Server generiert werden. In folgendem Artikel erfahren Sie, was für Vorrausetzungen es gibt und über welche Wege ein Zertifikat generiert werden kann.
3 3  
4 -{{toc start="4"/}}
5 5  
4 +==== (% style="color:#000000" %)__**Vorrausetzungen**__(%%) ====
6 6  
7 -----
8 8  
9 -==== (% style="color:#000000" %)__Voraussetzungen__(%%) ====
7 +===== (% style="color:#000000" %)__Portweiterleitung__(%%) =====
10 10  
11 -(% style="color:#000000" %)Damit ein Zertifikat generiert werden kann, müssen folgende Ports vom vorgeschalteten Router (WAN) an den logoDIDACT-Server weitergeleitet werden:
9 +(% style="color:#000000" %)Damit ein Zertifikat generiert werden kann, müssen folgende Ports vom Router (WAN) an den logoDIDACT-Server weitergeleitet werden:
12 12  
13 13  {{code language="bash"}}
14 14  WAN (Internet) TCP-Port 80 -> auf externe IP-Adresse des logoDIDACT-Servers [http]
... ... @@ -15,16 +15,15 @@
15 15  WAN (Internet) TCP-Port 443 -> auf externe IP-Adresse des logoDIDACT-Servers [https]
16 16  {{/code}}
17 17  
16 +==== ====
18 18  
19 19  ===== __Freigabe von Kopano über rev-proxy__ =====
20 20  
21 -(% style="color:#000000" %)Stellen Sie zunächst sicher, dass der rev-proxy Container am Server aktiviert ist, falls Sie Kopano im Internet freischalten chten.
20 +(% style="color:#000000" %)Erweitern Sie die ##{{code}}/etc/logodidact/hosts/rev-proxy/revproxy.conf{{/code}}## im Puppeteer-LXC um folgende Zeilen, um Kopano über den rev-proxy freizugeben, falls dies noch nicht erfolgt ist.
22 22  
23 -(% style="color:#000000" %)Erweitern Sie die ##{{code}}/etc/logodidact/hosts/rev-proxy/revproxy.conf{{/code}}## im Puppeteer-LXC um folgende Zeilen, um Kopano im rev-proxy freizugeben. Achten Sie hierbei auf Angabe des richtigen Templates.
24 -
25 25  {{code language="bash"}}
26 26  [ReverseProxy kopano.ShortName.logoip.de]
27 -Url https://kopano
24 +Url https://kopano
28 28  Template kopano
29 29  {{/code}}
30 30  
... ... @@ -39,10 +39,11 @@
39 39  
40 40  ===== (% style="color:#000000" %)__Split-DNS__(%%) =====
41 41  
42 -(% style="color:#000000" %)Hintergrund für Split-DNS ist ein oftmals fehlerhaftes NAT-Loopback am Router. Dies stellt sicher, dass externe Adressen wie z.b. kopano.shortname.logoip.de nicht zum Router geschickt werden, sondern zum internen rev-proxy weitergeleitet werden. Dadurch wird der Router als Fehlerquelle ausgeschlossen und alle Benutzernnen im Schulnetz wie auch Zuhause die gleiche URL für den Zugriff verwenden.
39 +(% style="color:#000000" %)Split-DNS muss im logosrv eingerichtet werden und sorgt für ein zuverlässiges beantragen des SSL-Zertifikates. Hintergrund für Split-DNS ist ein oftmals fehlerhaftes NAT-Loopback am Router. Dies sorgt dar dass nicht versucht wird, interne Adressen auch intern aufzulösen sondern ins Internet geschickt werden.
43 43  
44 -(% style="color:#000000" %)Führen Sie folgende Schritte für die Einrichtung durch, falls noch nicht erfolgt.
45 45  
42 +(% style="color:#000000" %)Führen Sie folgende Schritte für die Einrichtung durch:
43 +
46 46  (% style="color:#000000" %)Öffnen Sie die Datei "named.conf.local" im logosrv:
47 47  
48 48  {{code language="bash"}}
... ... @@ -62,7 +62,7 @@
62 62  {{/code}}
63 63  
64 64  
65 -(% style="color:#000000" %)Öffnen Sie die referenzierte Datei {{box}}db.dynip{{/box}} im logosrv:
63 +(% style="color:#000000" %)Öffnen Sie die Datei "db.dynip" im logosrv:
66 66  
67 67  {{code language="bash"}}
68 68  root@logosrv:~ # vim /etc/bind/db.dynip
... ... @@ -69,7 +69,7 @@
69 69  {{/code}}
70 70  
71 71  
72 -(% style="color:#000000" %)Passen Sie gegebenenfalls die IP-Adresse in den letzten beiden Zeilen an, als Ziel muss auf den Rev-Proxy Container verwiesen werden. Im Standard lautet dessen IP-Adresse "172.28.28.27":
70 +(% style="color:#000000" %)Passen Sie gegebenenfalls die IP des Rev-Proxy Containers an. Im Standard ist diese die "172.28.28.27":
73 73  
74 74  {{code language="bash"}}
75 75  $TTL 1h
... ... @@ -84,7 +84,7 @@
84 84                   NS      ns1.schule.local.
85 85                   NS      ns2.schule.local.
86 86  
87 -@                A       172.28.28.27
85 +                 A       172.28.28.27
88 88  *                A       172.28.28.27
89 89  {{/code}}
90 90  
... ... @@ -96,13 +96,11 @@
96 96  {{/code}}
97 97  
98 98  
99 -----
97 +==== (% style="color:#000000" %)**__SSL-Zertifikat über Tool acmetool oder acme.sh anfordern__**(%%) ====
100 100  
101 -==== (% style="color:#000000" %)__SSL-Zertifikat über Tool acmetool oder acme.sh anfordern__(%%) ====
99 +(% style="color:#000000" %)Nach Schaffung der technischen Vorrausetzungen können Sie das Let's Encrypt-Zertifikat anfordern. Je nach verwendeter Software/Serverstand können Sie die folgenden 2 Wege nutzen:
102 102  
103 -(% style="color:#000000" %)Nach Schaffung der technischen Voraussetzungen können Sie das Let's Encrypt-Zertifikat anfordern. Je nach verwendeter Software/Serverstand können Sie die folgenden 2 Wege nutzen:
104 104  
105 -
106 106  ===== (% style="color:#000000" %)__acmetool__(%%) =====
107 107  
108 108  (% style="color:#000000" %)Wechseln Sie in den puppeteer Container:
... ... @@ -128,7 +128,7 @@
128 128  {{/code}}
129 129  
130 130  
131 -(% style="color:#000000" %)Wechseln Sie im puppeteer Container in die Umgebung des Benutzers le-acme zur Verwaltung der Let's Encrypt Zertifikate:
127 +(% style="color:#000000" %)Wechseln Sie im puppeteer Container in die Umgebung r das Verwalten der Zertifikate:
132 132  
133 133  {{code language="bash"}}
134 134  root@puppeteer:~ # sle
... ... @@ -135,7 +135,7 @@
135 135  {{/code}}
136 136  
137 137  
138 -(% style="color:#000000" %)Beantragen Sie ein neues Zertifikat mit folgendem Befehl (ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
134 +(% style="color:#000000" %)Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
139 139  
140 140  {{code language="bash"}}
141 141  le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de
... ... @@ -142,7 +142,7 @@
142 142  {{/code}}
143 143  
144 144  
145 -(% style="color:#000000" %)Um das Verteilen der Zertifikate zu beschleunigen, können Sie nacheinander einen {{box}}prun{{/box}} im puppeteer und rev-proxy Container durchführen:
141 +(% style="color:#000000" %)Um das verteilen der Zertifikate zu beschleunigen können Sie ggf. einen prun im puppeteer und rev-proxy Container durchführen:
146 146  
147 147  {{code language="bash"}}
148 148  root@puppeteer:~ # prun