Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:administration [2020/01/16 15:42] flacco [DNS Forwarder anpassen] |
invis_server_wiki:administration [2020/06/26 07:11] flacco [VirtualBox] |
||
|---|---|---|---|
| Zeile 405: | Zeile 405: | ||
| * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. | * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. | ||
| * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus. | * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus. | ||
| + | * **Benutzerdaten bereinigen** - (Ab Version 14.2) Wird ein Benutzerkonto gelöscht, verbleiben dessen Kopano- und ownCloud-Daten im jeweiligen System. Sie können über diese Funktion unter Angabe des Benutzernamens **endgültig** gelöscht werden. | ||
| Die Integration weiterer Scripts ist in Planung. | Die Integration weiterer Scripts ist in Planung. | ||
| Zeile 831: | Zeile 832: | ||
| Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://wiki.openvpn.eu/index.php/Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]] | Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://wiki.openvpn.eu/index.php/Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]] | ||
| + | **Individuelle Zertifikate** | ||
| + | |||
| + | Werden weitere individuelle Server- oder Client-Zertifikate, so ist dies direkt mit dem Kommando ''easy-rsa'' möglich. | ||
| + | |||
| + | //**Hinweis:** Dabei ist zu beachten, dass Googles Chrome-Browser inzwischen verlangt, dass Server-Zertifikate das Attribut SubjectAltNames enthalten. Ohne dieses Attribut erfolgt immer eine Zertifikatswarnung.// | ||
| + | |||
| + | Ein Beispiel für ein Server-Zertifikat: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # easyrsa --subject-alt-name="DNS:host.example.loc" build-server-full host.example.loc nopass | ||
| + | </code> | ||
| + | |||
| + | Die Option "nopass" am Ende des Kommandos sorgt dafür, dass der private Schlüssel seinerseits nicht mit einem Passwort verschlüsselt wird. Im Falle von Server-Zertifikaten erleichtert das den Umgang damit, da dem Server-Dienst ansonsten immer das Passwort mitgegeben werden müsste. Bei vielen Diensten ist dies gar nicht möglich. | ||
| + | |||
| + | Beispiel für ein Client-Zertifikat: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # easyrsa --subject-alt-name="DNS:host.pe.loc" build-client-full host.pe.loc nopass | ||
| + | </code> | ||
| + | |||
| + | Zum Erstellen von Zertifikaten wird immer das Passwort des privaten CA-Schlüssels benötigt. | ||
| + | |||
| + | Neue Zertifikate werden in: <file>/etc/easy-rsa/example.loc/issued</file> und die zugehörigen privaten Schlüssel in: <file>/etc/easy-rsa/example.loc/private</file> abgelegt. | ||
| + | |||
| + | **PKCS#12** | ||
| + | |||
| + | Werden Schlüsselpaare in PKCS12-Containerformat benötigt, können diese nach Erstellung der Schlüsselpaare als solche exportiert werden: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # easyrsa export-p12 host.example.loc | ||
| + | </code> | ||
| + | |||
| + | Dabei fragt das Kommando nach einem Export-Passwort. Soll die p12-Datei nicht Passwort-verschlüsselt werden, kann die Passworteingabe durch einfaches Drücken der Enter-Taste quittiert werden. | ||
| + | |||
| + | Zu finden sind die erstellten p12-Dateien in: <file>/etc/easy-rsa/example.loc/private</file> | ||
| + | |||
| + | **Öffentlichen Schlüssel extrahieren** | ||
| + | |||
| + | <code> | ||
| + | server14:~ # openssl x509 -in hostname.crt -noout -pubkey > hostname-public.pem | ||
| + | </code> | ||
| === Zertifikate von Let's Encrypt (ab invis Version 12.1) === | === Zertifikate von Let's Encrypt (ab invis Version 12.1) === | ||
| Zeile 996: | Zeile 1038: | ||
| Jetzt können Sie in phpVirtualBox die Fernsteuerung der virtuellen Maschinen via RDP konfigurieren. | Jetzt können Sie in phpVirtualBox die Fernsteuerung der virtuellen Maschinen via RDP konfigurieren. | ||
| + | |||
| + | ==== Router Tausch ==== | ||
| + | |||
| + | Wird der Router den Internetzugangs getauscht, hat das auch Auswirkungen auf den invis-Server. Klar sollte sein, dass beim neuen Router wieder die für den invis-Server erforderlichen Portweiterleitungen eingerichtet werden (80/TCP, 443/TCP, 1194/UDP sowie die verschobenen Ports für HTTPs Zugriff aufs invis-Portal und den SSH-Zugriff (beides TCP)). Die beiden verschobenen Ports können Sie den Dateien <file>/etc/ssh/sshd_conf</file> und <file>/etc/apache2/listen.conf</file> entnehmen. | ||
| + | |||
| + | So Ihr invis-Server seine externe IP-Adresse per DHCP vom Router erhält sorgen Sie dafür, dass er für seine IP-Adresse im Router eine feste Reservierung erhält. | ||
| + | |||
| + | Für den nicht unwahrscheinlichen Fall, dass Ihr invis-Server nach dem Router-Tausch eine neue IP-Adresse erhält, müssen Sie diese in die Apache-Konfiguration für die Erneuerung der Let's Encrypt Zertifikate eintragen. | ||
| + | |||
| + | Zu finden ist die anzupassende Stelle der Konfiguration in: <file>/etc/apache2/vhosts.d/vh-dehydrated.conf</file> | ||
| + | |||
| + | Tragen Sie dort im VirtualHost-Tag die neue IP-Adresse ein und starten Sie den Webserver neu. | ||
| + | |||
| + | <code> | ||
| + | # Alias definition for dehytrated wellknown output directory for challenge-hooks | ||
| + | # Stefan Schaefer - stefan@invis-server.org | ||
| + | |||
| + | <Virtualhost 192.168.178.21:80> | ||
| + | ServerName dhxxx.example.de | ||
| + | DocumentRoot /srv/www/htdocs/dehydrated | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl restart apache2.service | ||
| + | </code> | ||
| + | |||