Webfrontend per HTTPS

Hallo zusammen,

in meinem ersten Beitrag in der SpamTitan Serie geht es darum, die Webseite per HTTPS abzusichern. Ich zeige euch hier, wie ich Schritt für Schritt vorgegangen bin.

Inhalt:

  1. SSL Zertifikat anfragen, erstellen und einrichten
  2. Domain-Namen auf die SpamTitan Appliance umleiten

1. SSL Zertifikat anfragen, erstellen und einrichten

Nach dem Login geht man über “Settings” auf den Menüpunkt “SSL”.
Damit man bei einer Zertifizierungsstelle ein Zertifikat anfordern kann, braucht man erst mal einen CSR (Certificate Signing Request). Den kann man mit Tools wie OpenSSL auch selbst erstellen, aber die Webseite bietet einem dafür ein einfaches Formular an. Man gibt als “Common Name” die URL der abzusichernden Webseite an. In meinem Fall ist das das Webfrontend von SpamTitan. Ich habe das Formular vollständig ausgefüllt, obwohl ich mir sicher bin, dass nicht alle Werte wichtig sind – mit Ausnahme des Common Name. Im Anschluss drückt man auf “Run”.

Und da ist mir auch gleich ein Fehler unterlaufen! Ich habe “Germany” bei “Country” eingetragen. Aber das Feld soll nur mit einem Landeskürzel gefüllt werden. Als ich dann “DE” eingetragen hatte, kam keine Fehlermeldung mehr. Also, noch mal auf “Run” drücken.

Im Anschluss erstellt die Webseite zwei Zeichenketten: Den CSR, den man bei einer Zertifizierungsstelle einreichen kann, und den privaten Schlüssel (private key), den man NIEMALS jemand anderem geben sollte. (Danke für Ihre Aufmerksamkeit!)

Per Copy&Paste habe ich mir die beiden Zeichenketten in Textdateien geschrieben. Diese sollte man gut aufheben, besonders den private key.

Jetzt kommt der Schritt, in dem man bei einer Zertifizierungsstelle ein Serverzertifikat anfordert. In der Vergangenheit habe ich mehrfach das bei StartCom gemacht. Den Vorteil den ich davon hatte, war die lange Laufzeit der kostenlosen Zertifikate. Zwar kann man sich auch bei anderen Zertifizierungsstellen ein kostenloses Zertifikat ausstellen lassen – wie z.B. Let’s Encrypt – die dann aber meistens nur eine Laufzeit von 3 Monaten haben. Deswegen habe ich gern zu StartCom gegriffen. In der jüngeren Vergangenheit ist allerdings StartCom etwas in Verruf geraten und verschiedene Browser-Hersteller haben StartCom das Vertrauen entzogen. Solange dieser Zustand anhält bleiben mir die Alternativen, die 3 Monate Gültigkeit anbieten. (Wenn jemand eine gute Alternative kennt, die kostenlose Zertifikate mit der Lautzeit von einem Jahr und mehr anbieten, dann bitte hinterlasse eine Kommentar hinterlassen. Danke!)

In meinem Fall habe ich mit für die Zertifizierungsstelle Comodo entschieden. Den Grund dazu sage ich euch nachher auch. Auf der Webseite angekommen gibt man die nötigen Daten ein.

Der wichtigste Eintrag ist hier der CSR, den ich mir schon vorher gut in eine Datei abgespeichert hatte. Die anderen Optionen muss man nicht wählen. Aber man sieht hier auch, dass das Zertifikat “nur” 90 Tage gültig ist. Im meinem Fall ist das auch vollkommen ok. Wenn ich 4x im Jahr den Prozess durchführen muss, finde ich das nicht unfair für einen kostenlosen Dienst.

Im zweiten Schritt findet ihr dann auch den Grund, warum ich Comodo ganz gut finde. Um zu bestätigen, dass man auch Inhaber der Domäne ist, bekommt man ein eMail zugeschickt. Hier bietet Comodo eine ganze Reihe von Adressen an, an die sie schicken würden. Das ist bei manchen anderen Anbietern nicht so. Manche bieten nur 1-2 Adressen an oder wollen, dass man eine bestimmt Datei auf dem Webserver ablegt zur Verifikation. Da ich hier keine Datei auf der SpamTitan Private Cloud ablegen kann, ist es mir besonders wichtig, dass ich die Bestätigung per eMail machen kann.

Im dritten Schritt nun werden persönliche Daten abgefragt.

Hier unten kann man dann noch einen Account Comodo einrichten. Für was das allerdings gut ist, habe ich noch nicht nachgeschaut. Vielleicht kann man hier einfach ein Zertifikat verlängern lassen.

Als letzten Schritt stimmt man noch den Vertragsbedingungen zu und freut sich über den Preis von 0,00€ ! (Die Freude ist nicht optional!)

Im letzten Dialog wird einem gezeigt, was schon getan wurde und was noch zu tun ist.

Hier sieht man, dass den CSR erfolgreich übermittelt habe, aber die Bestätigung, dass es meine Domäne ist, noch aussteht. Also, ab in mein Postfach und nach der Nachricht von Comodo suchen.

Schön ist, dass die wichtigsten Informationen fett geschrieben sind und man das Wort “here” auch anklicken will – so schön wie es da präsentiert wird. Man sollte aber nicht vergessen, den Bestätigungs-Code darunter vorher kopiert zu haben. Den braucht man nämlich gleich wieder. Auf der Webseite, die beim Klick auf “here” erscheint, gibt man den Code ein und drückt auf “Next >”.

Der Vorgang wird mit Dank beendet.

Interessant ist, wenn man die oben gezeigte Übersicht noch einmal frisch lädt, dass dann auch der zweite Schritt in Grün “COMPLETED” angezeigt wird.

Man bekommt nun im nächsten Schritt ein eMail zugeschickt, in dem sich die Zertifikate befinden.

Ich schreibe extra “Zertifikate” – also Mehrzahl – weil sich neben dem eigentlichen Zertifikat noch weitere nützliche Dateien im dem ZIP-Archiv befinden. U.a. ist dort das “Intermediate Certificate” mit angehängt. Dieses Zwischenzertifikat ist wichtig, damit die Zertifizierungskette geschlossen ist. Welches nun von den drei anderen Zertifikaten das “Intermediate” ist findet man am einfachsten heraus, wenn man das eigentliche Zertifikat öffnet.

In dem (Windows-)Dialog geht man auf “Zertifizierungspfad” und findet dann heraus, welches das “Intermediate Certificate” ist. Dieses Zertifikat braucht man gleich wieder. Man sollte es also zusammen mit dem eigenen Zertifikat und dem Private Key irgendwo ablegen und parat haben. Im nächsten Schritt geht man nämlich zurück auf die SpamTitan Appliance und zu den SSL Einstellungen. Hier werden die drei Dateien importiert: 1. Das Zertifikat / 2. Der Private Key  / 3. Das Intermediate Certificate. Zum Abschluss auf “Import” klicken.

Wenn alles sauber funktioniert hat, bekommt man folgende Erfolgsmeldung zu sehen:

Kommt diese Meldung nicht, dann kann es ggf. beim Upload Probleme gegeben haben. Aber wahrscheinlicher ist, dass mit einem der Zertifikate oder dem Private Key etwas nicht stimmt. Beim Import auf die SpamTitan Appliance wird auch überprüft, ob mit der Verschlüsselung alles okay ist. Hat man hier vielleicht ein Zertifikat, dass nicht zum Key passt oder im falschen Format vorliegt, kommt es zu einem Fehler. Sollte man kein Zertifikat im PEM Format haben, dann kann man es umwandeln lassen. Dazu gibt es verschiedene Online-Dienste. Ich benutze gern den SSL Converter von SSL Shopper.

Als letzten Schritt auf der SpamTitan Appliance muss man noch das richtige (neue) Zertifikat für die Webschnittstelle auswählen. Dazu geht man unter “Settings” -> “Access/Authentication” auf das Auswahlmenü “Certificates”. Hier befindet sich immer schon ein selbstsigniertes Zertifikat. Man wählt das neue Zertifikat aus und klickt auf “Save”.

Damit ist erst mal die Arbeit auf der Webschnittstelle der SpamTitan Appliance erledigt und wir können uns dem nächsten Schritt zuwenden.

2. Domain-Namen auf die SpamTitan Appliance umleiten

Nun kommen wir zu dem Teil, in dem wir den Domain-Namen auf die SpamTitan Appliance umleiten. Das ist sehr abhängig vom eigenen Provider und sieht bei euch ggf. anders aus. Mein Provider ist 1&1 und selbst da kann es sein, dass bei euch die Dialoge etwas anders aussehen. Ich habe noch eine sehr alten Vertrag bei 1&1 und meine Konfigurationsseite ist noch in manchen Teilen auf einem älteren Layout. (Aber da macht 1&1 auch gerade ein Update bei mir.)

Man geht also nun in die Konfiguration der Domäne(n) und sucht sich deine Domäne der Wahl. In meinem Fall wollte ich zu einer Sub-Domain greifen. Auch wenn man das nicht macht, sind die Schritte im Prinzip die gleichen. Ich lege also erst einmal eine Sub-Domain von “neumeister.net” an.

Passenderweise nenne ich sie “spam”.

Die Anlage geht recht schnell, aber nun muss sie noch konfiguriert werden.

Ich brauche nur die DNS Einstellungen zu verändern.

Für ein A-Record trage ich nun eine andere IP-Adresse ein, nämlich die von meiner SpamTitan Appliance.

Nachdem man die Änderung gespeichert hat, dauert es nicht lange und man bekommt vom DNS die neue IP genannt.

Wenn wir an dem Punkt sind, können wir den Browser öffnen und die SpamTitan Webschnittstelle mit HTTPS:// öffnen. Wenn wir dann neben der Adressleiste ein geschlossenes Vorhängeschloss sehen, haben wir alles richtig gemacht. Man kann da auch gern mal drauf klicken um mehr Details zu sehen.

 

Ja, das war es dann auch schon. Die Webschnittstelle ist nun per HTTPS erreichbar und es kommt keine Fehlermeldung mehr, wenn man sie öffnet. Das ist besonders wichtig, wenn man den Spam-Report zugeschickt bekommt und Aktionen daraus auslöst. Man möchte seinen Usern natürlich keine Fehlermeldung zumuten.

 

Noch etwas Allgemeines: Ich bekomme kein Geld oder sonstige Zuwendung von der Firma TitanHQ. Hier vertrete ich nur meine Meinung und die lasse ich auch nicht kaufen. Wenn mir etwas nicht gefällt, dann sage ich das auch.