[GELÖST] Vhosts u.a. auf TLS1.3 updaten

DarkTrinity

Member
Hallo liebe Community,

Ich würde gerne meine Webhost- Confdateien anpassen.
  • Es soll TLS1.3 erzwungen werden.
  • Die SSLCipherSuite- Liste soll nicht mehr auskommentiert sein
  • Wenn ich schon dabei bin würde ich aus Protocols h2 http/1.1 gerne Protocols h2 h2c http/1.1 machen

Momentaner Code (Relevanter Auszug)
:
Code:
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
                # SSLCipherSuite          ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
                SSLHonorCipherOrder     on

Gewünschter Code:
Code:
SSLProtocol             SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2

SSLCipherSuite          ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

SSLHonorCipherOrder     on

SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}"

Nur weiss ich nicht wirklich wie ich das anstellen soll.... Ich sehe 2 Optionen - und habe dazu 2 Fragen :)

1. Einen Direktivenschnipsel in der ISPC UI anlegen.
Frage 1: Der Schnipsel sollte ja an letzter Stelle der HostConfDatei eingefügt werden (hoffe ich) und damit die vorangegangenen Settings überschreiben - oder ?

2. Ich habe gelesen man kann auch gleich das HostConfTemplate von ISPC patchen.
Dazu habe ich im Forum hier folgendes gelesen:
Die aktuelle ISPConfig Version hat http2 Standardmäßig aktiviert. Ansonsten über die Templates in /usr/local/ispconfig/server/conf dort ist ein vhost Template drinne dieses einfach kopieren nach /usr/local/ispconfig/conf-Custom und nach deinen Wünschen anpassen. Dann alles resyncen und fertig. Das config file wird dann Standardmäßig für alle neu angelegten Webs verwendet.
Frage 2: Dieses "Dann alles resyncen und fertig." - wie stelle ich das an ? Dieses resyncen ?

Lieben Dank vorab :)
 

logifech

Active Member
2. Ich habe gelesen man kann auch gleich das HostConfTemplate von ISPC patchen.
Dazu habe ich im Forum hier folgendes gelesen:

Frage 2: Dieses "Dann alles resyncen und fertig." - wie stelle ich das an ? Dieses resyncen ?
Eindeutig die beste Alternative, auf dem Server unter „/usr/local/ispconfig/server/conf“ das vHost Standard Template kopieren nach „/usr/local/ispconfig/server/conf-custom“ in dem Template deine Anpassungen machen fertig. Dann in ISPConfig einloggen als Admin dann unter Einstellungen und dann resync Webseiten auswählen, bestätigen Und fertig.
 

DarkTrinity

Member
Hallo :)

Nachtrag: unter ispconfig 3.2 ist HTTP2 und TLSv 1.3 Standardmäßig aktiv
Also seit dem Update auf ISPConfig Version: 3.2.4 habe ich keinen Haken "HTTP 2 / SPDY" mehr den ich setzen könnte.... Bei der 3.2.1, die vorher glaube ich hatte, war der noch manuell setzbar

Warum? Sie ist kommentiert damit Du die ciphers für alle vhosts systemweit setzen kannst und nicht in jedem Vhost einzeln setzen musst.
Wie setze ich sie denn systemweit für jeden VHost, ohne daß ich die Template per Code verändern müsste ? In den Menüs der ISPC-UI finde ich dazu nichts mehr - daher hatte ich mir ja die Codes der Hostdateien angesehen.

Mein Anliegen ist wie gesagt, TLS 1.3 zu erzwingen. Ausserdem soll ein Eintrag ssl_dh hinzu.
 

Till

Administrator
Also seit dem Update auf ISPConfig Version: 3.2.4 habe ich keinen Haken "HTTP 2 / SPDY" mehr den ich setzen könnte.... Bei der 3.2.1, die vorher glaube ich hatte, war der noch manuell setzbar

Richtig, denn http/2 ist standradmäßig aktiv wenn es der server unterstützt.

Wie setze ich sie denn systemweit für jeden VHost, ohne daß ich die Template per Code verändern müsste ?

in der ssl Konfigurationsdatei des webservers, hat mit ISPConfig nichts zu tun.
 

logifech

Active Member
Wofür willst du eigentlich explizit diesen ssl_dh Eintrag? Standardmäßig läuft TLSv1.3 ohne Probleme und ohne zu tun.
 

logifech

Active Member
Dann musst du es manuell in dem Vhost Template unter /usr/local/ispconfig/server/conf/vhost.conf.Master (Kopieren) und nach /usr/local/ispconfig/server/conf-custom schieben abändern... und zusätzlich in der Apache SSL.conf von mod_ssl only tlsv1.3 aktivieren.
 

Werbung

Top