• Informationen für …
• Wir über uns
• Unsere Servicepalette
• Fragen, Beratung und Unterstützung
• Presse
• Projekte, Kooperationen, Arbeitsgruppen
• Andere im WWW

• Virtueller Webserver
  • Was ist das?
  • Leistungsangebot
  • Einrichten/Löschen
  • Dienste für Betreiber
  • Eigenschaften + Tipps
  • HTTPS
  • Zugriffskontrollen
  • CGI + PHP
  • Datenbanken
  • Datensicherung
  • LRZ-Webfarm

ALIs

kommt noch

Virtueller WWW-Server - verschlüsselt (HTTPS)

Einrichten eines Secure-Servers (https)

Sie haben zusätzlich die Möglichkeit, HTML-Seiten nicht nur unter

http://www.mein-servername.de/

sondern auch unter

https://www.mein-servername.de/

einzurichten. Beim Protokoll 'https' werden die Informationen zwischen Browser und Server verschlüsselt übertragen. Sie finden weitere Informationen zu 'https' unter 'Das Protokoll HTTPS am Webserver des LRZ'.

In Verbindung mit einer Zugriffskontrolle, wie es in 'Zugriffskontrollen einrichten' beschrieben wird, hat man eine sehr sichere Informationsplattform.

Um die 'https'-Option am LRZ zu nutzen, müssen Sie folgendes machen:

1. Sie starten das Programm Secure Shell (SSH) auf Ihrem Rechner und verbinden sich mit einem Sun-Rechner am LRZ, z.B. mit sun1.lrz.de.

2. Bei der Aufforderung geben Sie Ihre LRZ-Kennung und danach Ihr Passwort ein.

3. Geben Sie dann folgende zwei Kommandozeilen ein (jeweils mit "Return" abschliessen):

   mkdir $HOME/webserver/webdata-ssl
   /usr/afsws/bin/fs sa $HOME/webserver/webdata-ssl somebody rl
   

4. Beenden Sie mit der Eingabe von "exit" diese Sitzung.

5. Schicken Sie eine Mail an webmaster@lrz.de, mit dem Hinweis, dass Sie https mit Ihrem virtuellen Webserver nutzen wollen. (Vergessen Sie nicht den Namen Ihres vorhandenen virtuellen Webservers mit anzugeben.)

Sie haben kein SSH-Programm auf Ihrem Rechner?

• Windows-Rechner:
  Sie können einen kostenlosen SSH-Klienten (PuTTY) beziehen von: PuTTY Download Page; LRZ-Beschreibung hierzu: SSH für Windows-Benutzer.
• UNIX-Rechner:
  Installieren Sie das SSH-Programm von Ihrem üblichen Installations-Medium. Falls Sie dort keines finden, so können Sie eine kostenlose Version beziehen von: OpenSSH-Website; LRZ-Beschreibung hierzu: SSH für UNIX-Benutzer.

Sie können jetzt zusätzlich Ihre Daten für den https-Server unter 'webserver/webdata-ssl' ablegen, wie Sie es bisher bereits unter 'webserver/webdata' mit Ihren 'normalen' Daten getan haben. Sie haben also jetzt zwei Datenbereiche für zwei Server!

Ihnen stehen die selben Dienste zu Verfügung, wie mit Ihrem normalen Server - abgesehen von dem Link-Checker Programm MOMspider, das derzeit keine https-URL's testen kann.

Wenn Sie Homepages für Mitarbeiter unter dem https-Server einrichten wollen, müssen Sie statt des Verzeichnisses 'webserver/webusers' ein Verzeichnis 'webserver/webusers-ssl' benutzen. Ansonsten gilt das selbe, wie weiter oben dazu beschrieben steht.

Falls Sie CGI-Programme nutzen, ändert sich nichts. Ihnen stehen dieselben CGI-Programme unter http wie auch unter https zu Verfügung. Man kann als einfachen Test in den eigenen CGI-Programmen die Umgebungsvariable 'HTTPS' abprüfen. Diese ist bei http-Verbindungen ungesetzt und bei https-Verbindungen auf 'on' gesetzt.

Informationen zum Zertifikat

Um einen https-Server zu betreiben, muss der Server über einen privaten Schlüssel für die Verschlüsselung und über ein Zertifikat verfügen, das die Zugehörigkeit des Schlüssels zum Namen des Servers nach außen dokumentiert (Näheres unter Zertifizierung). Nur mit einem solchen Zertifikat ist eine verschlüsselte Übertragung möglich. Dazu gibt es verschiedene Möglichkeiten:

• Wenn Sie gar nichts veranlassen, wird ein gemeinsamer Schlüssel für mehrere virtuelle Server in Verbindung mit einem Zertifikat verwendet, das neben dem generischen Namen 'wwwph.lrz.de' die Namen dieser Server gleichzeitig enthält. Das reicht zur Verschlüsselung auf jeden Fall aus und im Prinzip auch zur Feststellung der Identität des Servers, obwohl das Zertifikat den Servernamen nur als alternativen Namen enthält.

• Für Webserver von Einrichtungen der TUM, die einen auf Joomla oder Typo3 basierenden Webserver in Zusammenarbeit mit dem Medienzentrum der TUM betreiben, wird ein gemeinsamer Schlüssel für mehrere virtuelle Server in Verbindung mit einem Zertifikat verwendet, das neben dem generischen Namen 'wwwv1.tum.de'  oder wwwv2.tum.de die Namen dieser Server gleichzeitig enthält. Das reicht zur Verschlüsselung auf jeden Fall aus und im Prinzip auch zur Feststellung der Identität des Servers, obwohl das Zertifikat den Servernamen nur als alternativen Namen enthält.

• Sie können sich auch ein eigenes Zertifikat über eine der Zertifizierungsstellen am LRZ besorgen lassen. Antragsteller ist in diesem Fall das LRZ selbst als Betreiber des Servers; von Ihnen wird nur ein formloser Auftrag gebraucht. Diese Variante ist nur notwendig, wenn die Möglichkeit aus dem voranstehenden Punkt aus irgendeinem Grund nicht ausreicht.

• Schließlich können Sie sich auch Zertifikat und Schlüssel von einer anderen Zertifizierungsstelle besorgen und installieren lassen, wenn es dafür einen wichtigen Grund gibt.

Wildcard-Zertifikate, also solche, bei denen der Servername ein Sternchen für beliebig austauschbare Namensbestandteile enthält, werden nicht mehr verwendet.