[linux] https enablen op apache?

[Bart-Jan Vrielink]

Hans,



Valt wel mee. Wat mij betreft zijn ze juist veel te ver doorgeslagen in het dummy proof maken van de procedure dat de meeste methodes om een LetsEncrypt certificaat te verkrijgen niet toepasbaar zijn op de configuratie van mijn webserver en er gelukkig maar 1 methode overbleef die enigszins bruikbaar was (maar wat wel inhield dat ik speciaal voor LetsEncrypt HTTP moest enablen!). Ik dwaal echter af.



Naast LetsEncrypt zijn er nog een aantal andere opties voor een gratis gesigned certificaat. Ik heb hier echter geen (recente) ervaring mee.Voordeel van zo'n "traditioneel" SSL certificaat is dat je geen speciale software hoeft te gebruiken en dat het certificaat wat langer geldig is (1 jaar of meer). Voordeel van LetsEncrypt is dat zodra die extra software eenmaal is ingeregeld, alles automagisch gaat (ook het verlengen).

Wat LetsEncrypt niet levert, maar waarschijnlijk voor je niet zo relevant is, is de extended validation (zo'n "groen" certificaat inclusief naam). Is overigens alleen voor bedrijven (wat je ook aan de bedragen kunt zien).



-----Original message-----
From: paai <j.j.paijmans op gmail.com>
Sent: Thursday 19th October 2017 11:14
To: linux op lists.nllgg.nl
Subject: Re: [linux] https enablen op apache?

Het probeem schijnt te zijn dat self-signed certificaties voor een hoop paniek bij bezoekers leiden. Vandaar mijn volgende vraag: hoe kom je dan aan een algemeen geaccepteerd certificaat (en gezien je laatste zin lijkt dan niet eenvoudig).







On 19-10-17 11:04, Bart-Jan Vrielink wrote:
Hans,
 


 

Je kunt niet een losse pagina "op https laten werken". http (poortje 80) en https (TLS over poort 443) kunnen prima naast elkaar draaien. Wat Apache betreft hoeft je geconfigureer geen seconde downtime op te leveren (apachectl graceful, eventueel aangevuld met apachectl configtest en apachectl -S voor de checks vooraf). Als je de oude configuratie netjes hebt bewaard kun je desnoods binnen een paar tellen weer terug naar de oude configuratie.
 


 

Ik neem aan dat Kubuntu voldoende op Ubuntu voldoende op Debian lijkt dat het dezelfde configuratiestructuur voor Apache gebruikt. In dat geval, ga naar de directory /etc/apache2/sites-available/ en maak daar een kopie van de default-ssl configuratie en pas deze aan. Doe daarna een "a2ensite <<naam van deze file>>" en doe daarna een apachectl graceful.
 

Mogelijk moet je op je firewall(s) nog poort 443/tcp nog open zetten.
 


 

Deze default voorbeeld configuratie maakt gebruik van een self-signed certificaat. Ik zie de mails over het configureren van LetsEncrypt wel een keer op deze lijst verschijnen :)
 





 






------------- volgend deel ------------
Een HTML-bijlage is gescrubt...
URL: <https://lists.nllgg.nl/pipermail/linux/attachments/20171019/67f7c0c2/attachment-0001.html>