181
Bearbeitungen
Änderungen
Howto/SSL Zertifikate mit Let's Encrypt (Quelltext anzeigen)
Version vom 11. Januar 2017, 19:00 Uhr
, 19:00, 11. Jan. 2017keine Bearbeitungszusammenfassung
ingwer.freifunk-mwu.de firmware.freifunk-mwu.de ingwer.freifunk-mainz.de firmware.freifunk-mainz.de firmware.wiesbaden.freifunk.net ingwer.ffmwu.org firmware.ffmwu.org ingwer.ffmz.org firmware.ffmz.org ingwer.ffwi.org firmware.ffwi.org
ingwer.freifunk-mwu.de firmware.freifunk-mwu.de ingwer.freifunk-mainz.de firmware.freifunk-mainz.de firmware.wiesbaden.freifunk.net ingwer.ffmwu.org firmware.ffmwu.org ingwer.ffmz.org firmware.ffmz.org ingwer.ffwi.org firmware.ffwi.org
</source>
</source>
==SSH konfigurieren==
/etc/ssh/sshd_config: Hier wird /etc/ssh/authorized_keys_local als zusätzliche Quelle für erlaubte public keys hinzugefügt.
<source lang=bash>
AuthorizedKeysFile %h/.ssh/authorized_keys /etc/ssh/authorized_keys_local
</source>
/etc/ssh/sshd_config: Hier wird ein chroot jail für den Zertifikatsuser eingerichtet, so dass ein geleakter private key kein manipulieren des Cert_master zulässt. Die Permissions von /home/cert (wie gesetzt in hooks.sh) verhindern ein überschreiben der Zertifikate, internal-sftp erlaubt nur sftp über die Verbindung.
<source lang=bash>
Match User cert
ChrootDirectory /home/cert/
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
</source>
/etc/ssh/authorized_keys_local: Hier kommen alle public keys von hosts rein, die Zertifikate abrufen wollen.