Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3prepare-http [2018/11/28 15:08] – [Debian 8] Silke Meyer | de:shibidp3prepare-http [2019/11/20 13:53] – [Installation des Apache Webserver] Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
===== IdP 3.x Vorarbeiten: | ===== IdP 3.x Vorarbeiten: | ||
- | ** WICHTIG: | + | ** WICHTIG: |
- | + | ====Installation des Apache Webserver ==== | |
- | ====RHEL 6==== | + | ===Debian 8/ |
<code bash> | <code bash> | ||
- | yum install | + | root@idp:~# apt-get |
</ | </ | ||
- | ====SLES 11/12==== | + | ===RHEL 6/CentOS 7=== |
- | Da Apache als Frontend vor Tomcat 7.0 via AJP verwendet wird: in /etc/ | + | <code bash> |
+ | yum -y install httpd mod_ssl | ||
+ | </code> | ||
- | ====Debian 8/9==== | + | ===SLES 11/12, OpenSUSE Leap 15.1=== |
- | <code bash> | + | Da Apache als Frontend vor Tomcat via AJP verwendet wird: in '' |
- | root@idp:~# apt-get install apache2 | + | |
- | </code> | + | |
- | Module aktivieren: | + | ==== Apache-Module aktivieren |
<code bash> | <code bash> | ||
root@idp:~# a2enmod ssl | root@idp:~# a2enmod ssl | ||
root@idp:~# a2enmod headers | root@idp:~# a2enmod headers | ||
+ | root@idp:~# a2enmod proxy | ||
root@idp:~# a2enmod proxy_ajp | root@idp:~# a2enmod proxy_ajp | ||
</ | </ | ||
Zeile 32: | Zeile 33: | ||
</ | </ | ||
- | ==== Konfiguration ==== | + | ==== VHost-Konfiguration ==== |
Eine Anleitung zur Erstellung einer Zertifikatskette (s.u. SSLCACertificateFile) findet sich [[de: | Eine Anleitung zur Erstellung einer Zertifikatskette (s.u. SSLCACertificateFile) findet sich [[de: | ||
+ | |||
+ | Im Mozilla-Wiki finden Sie Empfehlungen für eine [[https:// | ||
<file apache / | <file apache / | ||
Zeile 102: | Zeile 105: | ||
# https:// | # https:// | ||
# | # | ||
+ | |||
+ | # Wenn Sie den Port 8443 nicht bereits an anderer Stelle angeschaltet haben, | ||
+ | # (z.B. bei Debian in / | ||
+ | # können Sie das hier manuell machen: | ||
Listen IDP-IP-ADRESSE: | Listen IDP-IP-ADRESSE: | ||
Listen [IDP-IPv6-ADRESSE]: | Listen [IDP-IPv6-ADRESSE]: | ||
Zeile 112: | Zeile 119: | ||
SSLCertificateKeyFile | SSLCertificateKeyFile | ||
SSLCACertificateFile | SSLCACertificateFile | ||
- | + | ||
- | # hier muss wegen veralteten SP-Clients (z.B. Thomson Reuters) | + | |
- | # eine etwas weniger strikte Konfiguration genommen werden | + | |
- | # als von bettercrypto.org empfohlen wird: | + | |
- | SSLCipherSuite ' | + | |
- | + | ||
# Diese drei SSL-Optionen sind zwingend notwendig | # Diese drei SSL-Optionen sind zwingend notwendig | ||
# damit SP-Abfragen auf diesen Port funktionieren! | # damit SP-Abfragen auf diesen Port funktionieren! | ||
Zeile 146: | Zeile 148: | ||
=== Testen der Verbindung Apache --> Tomcat === | === Testen der Verbindung Apache --> Tomcat === | ||
- | Liest der Apache seine Config ohne Fehler ein testen Sie bitte als nächstes die Weiterleitung von Apache auf den Tomcat indem Sie folgende URL aufrufen: | + | Liest der Apache seine Config ohne Fehler ein, testen Sie bitte als nächstes die Weiterleitung von Apache auf den Tomcat indem Sie folgende URL aufrufen: |
< | < | ||
https:// | https:// | ||
</ | </ | ||
- | Funktioniet | + | Funktioniert |
Kommt eine Apache-Fehlermeldung (diese sollte dann auch im obigen Apache-Log erscheinen) dann stimmt die Apache-Configuration noch nicht! Bitte dann nochmal obige Punkte sorgfältig durchgehen. | Kommt eine Apache-Fehlermeldung (diese sollte dann auch im obigen Apache-Log erscheinen) dann stimmt die Apache-Configuration noch nicht! Bitte dann nochmal obige Punkte sorgfältig durchgehen. | ||
Zeile 157: | Zeile 159: | ||
* Achten Sie bitte darauf, dass sich die SSL-Direktiven tatsächlich in einem VirtualHost-Kontext befinden und **nicht** im Location-Kontext. (Mehr dazu im [[https:// | * Achten Sie bitte darauf, dass sich die SSL-Direktiven tatsächlich in einem VirtualHost-Kontext befinden und **nicht** im Location-Kontext. (Mehr dazu im [[https:// | ||
* stellen Sie sicher dass die Apache-SSL-Konfiguration aktuellen Sicherheitsstandards entspricht! Details dazu übersteigen den Rahmen diese Anleitung. Hilfreiche Seiten: | * stellen Sie sicher dass die Apache-SSL-Konfiguration aktuellen Sicherheitsstandards entspricht! Details dazu übersteigen den Rahmen diese Anleitung. Hilfreiche Seiten: | ||
- | * [[https://bettercrypto.org/]] | + | * [[https://ssl-config.mozilla.org/]] |
* [[https:// | * [[https:// | ||
* https:// | * https:// | ||
Zeile 265: | Zeile 267: | ||
SSLRandomSeed connect builtin | SSLRandomSeed connect builtin | ||
- | SSLProtocol | + | # SSLProtocol |
- | SSLCipherSuite | + | # SSLCipherSuite |
+ | # Nützliche Quelle: https:// | ||
SSLHonorCipherOrder On | SSLHonorCipherOrder On | ||