SSL mit ProxyPass aktivieren

Alles, was den Apache betrifft, kann hier besprochen werden.

SSL mit ProxyPass aktivieren

Postby c_korn » 01. January 2016 04:51

Hallo Leute,

frohes Neues erst einmal, ich bin neu im Forum.

Meine Frage bezieht sich auf das Aktivieren von SSL im Zusammenhang mit ProxyPass.
Dank Letsencrypt kann man SSL Zertifikate ja relativ einfach und kostenlos für seine Domäne ausstellen lassen.
Jetzt habe ich ein solches Zertifikat und frage mich, wie ich es in Apache einrichte.

Die Besonderheit ist nämlich, dass der Apache die HTTP Anfrage nur per ProxyPass Einstellung an einen anderen Webserver weiterleitet,
der auf dem gleichen Server auf einem anderen Port läuft. Es handelt sich um einen Cherrypy Python Webserver, der unter einem normalen Benutzeraccount läuft,
weshalb ich keinen Zugriff auf das Zertifikat und den privaten Schlüssel erlauben will.
Darum soll sich wenn möglich der Apache kümmern.

Ist es möglich, den Apache so einzurichten, dass er sich um die Verschlüsselung kümmert, während der andere Webserver nur HTTP kann?

So sieht meine Konfig zur Zeit aus:
Code: Select all
<IfModule mod_ssl.c>
   <VirtualHost _default_:443>
      ServerAdmin webmaster@getdeb.net
                ServerName www.getdeb.net:443

      SSLProxyEngine On
      ProxyPass / http://www.getdeb.net:9090/ retry=0
      ProxyPreserveHost on

      SSLEngine on

      SSLCertificateFile   /etc/apache2/certs/getdeb_signed.crt
      SSLCertificateKeyFile /etc/apache2/certs/getdeb_domain.key
      SSLCertificateChainFile /etc/apache2/certs/intermediate.pem
      SSLCACertificateFile /etc/apache2/certs/root_ca.pem

                Header always set X-Frame-Options DENY
                Header always set X-Content-Type-Options nosniff
    </VirtualHost>   

    SSLProtocol             all -SSLv3 -TLSv1
    SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
    SSLHonorCipherOrder     on
    SSLCompression          off

    # OCSP Stapling, only in httpd 2.3.3 and later
    #SSLUseStapling          on
    #SSLStaplingResponderTimeout 5
    #SSLStaplingReturnResponderErrors off
    #SSLStaplingCache        shmcb:/var/run/ocsp(128000)

</IfModule>


Wenn ich jetzt die Verbindung teste, sehe ich aber nur, dass auf die normale Port 80 Verbindung umgeleitet wird:
Code: Select all
$ wget -O- https://www.getdeb.net > /dev/null
--2016-01-01 04:46:47--  https://www.getdeb.net/
Auflösen des Hostnamen »www.getdeb.net (www.getdeb.net)«... 104.28.25.125, 104.28.24.125
Verbindungsaufbau zu www.getdeb.net (www.getdeb.net)|104.28.25.125|:443... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 303 See Other
Platz: http://www.getdeb.net/welcome/ [folge]
--2016-01-01 04:46:47--  http://www.getdeb.net/welcome/
Verbindungsaufbau zu www.getdeb.net (www.getdeb.net)|104.28.25.125|:80... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 200 OK
Länge: nicht spezifiziert [text/html]
In »»STDOUT«« speichern.

-                       [ <=>                  ]   5,98K  --.-KB/s   in 0,001s

2016-01-01 04:46:47 (10,5 MB/s) - auf die Standardausgabe geschrieben [/6124]
c_korn
 
Posts: 1
Joined: 01. January 2016 04:34
Operating System: Ubuntu

Return to Apache

Who is online

Users browsing this forum: No registered users and 1 guest