Zum Inhalt springen
Version 11.1 von Jonas Mayer am 2022/05/24 19:19
Zeige letzte Bearbeiter
1 (% style="color:#000000" %)Damit der Webzugriff von Kopano über ein Zertifikat abgesichert ist, muss dieses erst auf dem LogoDIDACT-Server generiert werden. In folgendem Artikel erfahren Sie, was für Voraussetzungen es gibt und über welche Wege ein Zertifikat generiert werden kann.
2
3
4 ===== (% style="color:#000000" %)__Voraussetzungen__(%%) =====
5
6 (% style="color:#000000" %)Damit ein Zertifikat generiert werden kann, müssen folgende Ports vom vorgeschalteten Router (WAN) an den logoDIDACT-Server weitergeleitet werden:
7
8 {{code language="bash"}}
9 WAN (Internet) TCP-Port 80 -> auf externe IP-Adresse des logoDIDACT-Servers [http]
10 WAN (Internet) TCP-Port 443 -> auf externe IP-Adresse des logoDIDACT-Servers [https]
11 {{/code}}
12
13 ==== ====
14
15 ===== =====
16
17 ===== =====
18
19 ===== __Freigabe von Kopano über rev-proxy__ =====
20
21 (% style="color:#000000" %)Erweitern Sie die ##{{code}}/etc/logodidact/hosts/rev-proxy/revproxy.conf{{/code}}## im Puppeteer-LXC um folgende Zeilen, um Kopano über den rev-proxy freizugeben, falls dies noch nicht erfolgt ist.
22
23 {{code language="bash"}}
24 [ReverseProxy kopano.ShortName.logoip.de]
25 Url https://kopano
26 Template kopano
27 {{/code}}
28
29 (% style="color:#000000" %) Übernehmen Sie die neuen Dateien bzw. die Änderungen ins Git:
30
31 {{code language="bash"}}
32 cd /etc/logodidact/
33 git add .
34 git commit -a -m "Kopano über rev-proxy freigegeben."
35 {{/code}}
36
37
38 ===== (% style="color:#000000" %)__Split-DNS__(%%) =====
39
40 (% style="color:#000000" %)Hintergrund für Split-DNS ist ein oftmals fehlerhaftes NAT-Loopback am Router. Dies stellt sicher, dass externe Adressen wie z.b. kopano.shortname.logoip.de nicht zum Router geschickt werden, sondern zum internen rev-proxy weitergeleitet werden. Dadurch wird der Router als Fehlerquelle ausgeschlossen und alle Benutzer können im Schulnetz wie auch Zuhause die gleiche URL für den Zugriff verwenden.
41
42 (% style="color:#000000" %)Führen Sie folgende Schritte für die Einrichtung durch, falls noch nicht erfolgt.
43
44 (% style="color:#000000" %)Öffnen Sie die Datei "named.conf.local" im logosrv:
45
46 {{code language="bash"}}
47 root@logosrv:~ # vim /etc/bind/named.conf.local
48 {{/code}}
49
50
51 (% style="color:#000000" %)Bearbeiten Sie die Datei wie folgt (Ersetzen Sie "musterstadt" durch den Schul-Shortname):
52
53 {{code language="bash"}}
54 ## Externe dynamische IP intern auflösen
55 zone "musterstadt.logoip.de" {
56   type master;
57   file "/etc/bind/db.dynip";
58   check-names ignore;
59 };
60 {{/code}}
61
62
63 (% style="color:#000000" %)Öffnen Sie die referenzierte Datei {{box}}db.dynip{{/box}} im logosrv:
64
65 {{code language="bash"}}
66 root@logosrv:~ # vim /etc/bind/db.dynip
67 {{/code}}
68
69
70 (% style="color:#000000" %)Passen Sie gegebenenfalls die IP-Adresse in den letzten beiden Zeilen an, als Ziel muss auf den Rev-Proxy Container verwiesen werden. Im Standard lautet dessen IP-Adresse "172.28.28.27":
71
72 {{code language="bash"}}
73 $TTL 1h
74 @                IN     SOA   ns1.schule.local. postmaster.schule.local. (
75                                 2009010101 ; serial
76                                 86400      ; refresh (1 day)
77                                 900        ; retry (15 minutes)
78                                 604800     ; expire (1 week)
79                                 900        ; minimum (15 minutes)
80                                 )
81
82                  NS      ns1.schule.local.
83                  NS      ns2.schule.local.
84
85 @                A       172.28.28.27
86 *                A       172.28.28.27
87 {{/code}}
88
89
90 (% style="color:#000000" %)Starten Sie nach den Anpassungen den DNS-Server im logosrv neu:
91
92 {{code language="bash"}}
93 root@logosrv:~ # /etc/init.d/bind9 restart
94 {{/code}}
95
96
97 ==== (% style="color:#000000" %)**__SSL-Zertifikat über Tool acmetool oder acme.sh anfordern__**(%%) ====
98
99 (% style="color:#000000" %)Nach Schaffung der technischen Voraussetzungen können Sie das Let's Encrypt-Zertifikat anfordern. Je nach verwendeter Software/Serverstand können Sie die folgenden 2 Wege nutzen:
100
101
102 ===== (% style="color:#000000" %)__acmetool__(%%) =====
103
104 (% style="color:#000000" %)Wechseln Sie in den puppeteer Container:
105
106 {{code language="bash"}}
107 root@ldhost:~ # lxc-ssh -n puppeteer
108 {{/code}}
109
110
111 (% style="color:#000000" %)Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
112
113 {{code language="bash"}}
114 root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de
115 {{/code}}
116
117
118 ===== (% style="color:#000000" %)__acme.sh__(%%) =====
119
120 (% style="color:#000000" %)Wechseln Sie in den puppeteer Container:
121
122 {{code language="bash"}}
123 root@ldhost:~ # lxc-ssh -n puppeteer
124 {{/code}}
125
126
127 (% style="color:#000000" %)Wechseln Sie im puppeteer Container in die Umgebung für das Verwalten der Zertifikate:
128
129 {{code language="bash"}}
130 root@puppeteer:~ # sle
131 {{/code}}
132
133
134 (% style="color:#000000" %)Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
135
136 {{code language="bash"}}
137 le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de
138 {{/code}}
139
140
141 (% style="color:#000000" %)Um das verteilen der Zertifikate zu beschleunigen können Sie ggf. einen prun im puppeteer und rev-proxy Container durchführen:
142
143 {{code language="bash"}}
144 root@puppeteer:~ # prun
145 root@rev-proxy:~ # prun
146 {{/code}}
147
148