Ich steh gerade vor nem kleinen Problem ;)

Ein Server der im Büro steht soll von aussen per http erreichbar sein um die Seiten des Intranets aufzurufen. Damit das Ganze sicher ist muss es natürlich verschlüsselt werden. Ist sowas für einen "DSL Server" genauso einfach möglich wie für normale Root Server ?

MfG
Benjamin

Gute Frage.

Ist ein Zertifikat an eine IP gebunden?
Ist ein Zertifikat an ein DNS Alias gebunden?

Sollte mit dyndns.org klappen.

Also ich muss gestehen ;) Ich habs bei rootforum auch gepostet, da meint jemand wenn ich es über dyndns mache und darauf das Zertifikat laufen lassen sollte es klappen.

Die Fragen ist dann wohl woher das Zertifikat, GeoTrust scheint mir ganz beliebt zu sein.

Punkt 1: Wieso überhaupt SSL? Wenn das Ding per IP verfügbar ist oder per DNS kommt so oder so die Welt drauf (wenn nicht per .htaccess oder Firewall begrenzt) - solange also eigentlich unnötig, solange keine Formularinfos übertragen werden

Punkt 2: Das Zert. kannst Du auch selbst erstellen, solange es Dir nicht wichtig ist, dass es von einer zert. Stelle kommt. Und da es ja nur um Intranet geht sollte das kein Problem sein...

Also ich muss gestehen ;) Ich habs bei rootforum auch gepostet, da meint jemand wenn ich es über dyndns mache und darauf das Zertifikat laufen lassen sollte es klappen.

Die Fragen ist dann wohl woher das Zertifikat, GeoTrust scheint mir ganz beliebt zu sein.

He ich habe da zwar auch einen Account. Aber ich wars nicht :D
Wenn Du ein Zertifikat kaufen willst, warum dann einen dyndns
Rechner?

htaccess mit SHA ist natürlich Pflicht, bzw Mod_Security für den Indianer.
;)
Und google doch mal nach "Securing Apache", da findet sich sicher einiges.

htaccess mit SHA ist natürlich Pflicht,
wohl eher unpraktisch - wenn das Ding parallel auch Intranet ist... - daher also eher über Allow / Deny...

bzw Mod_Security für den Indianer.
wieso mod_security?

Wenn der Server, wie du sagst, nicht vollkommen publik erreichbar ist, dann wäre vielleicht www.cacert.org etwas für dich?

Eine andere Alternative für Zugriffsschutz baut auf SSL auf: Client-Zertifikate. Auch eine Überlegung wert, setzen wir auch recht erfolgreich hier ein für ein Subversion-System...

wohl eher unpraktisch - wenn das Ding parallel auch Intranet ist... - daher also eher über Allow / Deny...

wieso mod_security?

Ist vielleicht ein bisschen paranoid und umständlich.
Aber warum nicht auch Schutz von Innen?

Naja und mod_security hält die ganzen Deppen auf Distanz. Hoffentlich. :rolleyes:

Ich habe aus diesem Thread gelernt mich endlich mal mit Client Certifikaten
auseinanderzusetzen.

Eine andere Alternative für Zugriffsschutz baut auf SSL auf: Client-Zertifikate. Auch eine Überlegung wert, setzen wir auch recht erfolgreich hier ein für ein Subversion-System...
Hast du dazu einen guten Link? Klingt interessant :)

Gruss,
Chrigu

einen einzelnen Link nicht - musste mir das selbst zusammensammeln. Wenn ich morgen wieder in der Firma bin kann ich mal die entsprechenden Links posten und das Mini-Tut, das daraus entstanden ist...

So, hab gerade mal gekruschtelt und das Mini-How-To gefunden.

Funktioniert hier problemlos (Suse 9.3, Basisinstallation, OpenSSL von Suse, mod_ssl und apache selbst aus den Sourcen gebaut).

http://www.marce.de/download/apache_client_certs.pdf
http://www.marce.de/download/apache_client_certs.odt

Danke für den Link! Klingt wirklich interessant, muss ich mal anschauen :)

Gruss,
Chrigu