frohes Neues erst einmal, ich bin neu im Forum.
Meine Frage bezieht sich auf das Aktivieren von SSL im Zusammenhang mit ProxyPass.
Dank Letsencrypt kann man SSL Zertifikate ja relativ einfach und kostenlos für seine Domäne ausstellen lassen.
Jetzt habe ich ein solches Zertifikat und frage mich, wie ich es in Apache einrichte.
Die Besonderheit ist nämlich, dass der Apache die HTTP Anfrage nur per ProxyPass Einstellung an einen anderen Webserver weiterleitet,
der auf dem gleichen Server auf einem anderen Port läuft. Es handelt sich um einen Cherrypy Python Webserver, der unter einem normalen Benutzeraccount läuft,
weshalb ich keinen Zugriff auf das Zertifikat und den privaten Schlüssel erlauben will.
Darum soll sich wenn möglich der Apache kümmern.
Ist es möglich, den Apache so einzurichten, dass er sich um die Verschlüsselung kümmert, während der andere Webserver nur HTTP kann?
So sieht meine Konfig zur Zeit aus:
- Code: Select all
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin webmaster@getdeb.net
ServerName www.getdeb.net:443
SSLProxyEngine On
ProxyPass / http://www.getdeb.net:9090/ retry=0
ProxyPreserveHost on
SSLEngine on
SSLCertificateFile /etc/apache2/certs/getdeb_signed.crt
SSLCertificateKeyFile /etc/apache2/certs/getdeb_domain.key
SSLCertificateChainFile /etc/apache2/certs/intermediate.pem
SSLCACertificateFile /etc/apache2/certs/root_ca.pem
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
</VirtualHost>
SSLProtocol all -SSLv3 -TLSv1
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
SSLHonorCipherOrder on
SSLCompression off
# OCSP Stapling, only in httpd 2.3.3 and later
#SSLUseStapling on
#SSLStaplingResponderTimeout 5
#SSLStaplingReturnResponderErrors off
#SSLStaplingCache shmcb:/var/run/ocsp(128000)
</IfModule>
Wenn ich jetzt die Verbindung teste, sehe ich aber nur, dass auf die normale Port 80 Verbindung umgeleitet wird:
- Code: Select all
$ wget -O- https://www.getdeb.net > /dev/null
--2016-01-01 04:46:47-- https://www.getdeb.net/
Auflösen des Hostnamen »www.getdeb.net (www.getdeb.net)«... 104.28.25.125, 104.28.24.125
Verbindungsaufbau zu www.getdeb.net (www.getdeb.net)|104.28.25.125|:443... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 303 See Other
Platz: http://www.getdeb.net/welcome/ [folge]
--2016-01-01 04:46:47-- http://www.getdeb.net/welcome/
Verbindungsaufbau zu www.getdeb.net (www.getdeb.net)|104.28.25.125|:80... verbunden.
HTTP-Anforderung gesendet, warte auf Antwort... 200 OK
Länge: nicht spezifiziert [text/html]
In »»STDOUT«« speichern.
- [ <=> ] 5,98K --.-KB/s in 0,001s
2016-01-01 04:46:47 (10,5 MB/s) - auf die Standardausgabe geschrieben [/6124]