ALIs

kommt noch

Verschlüsselung - Secure Server (https)

 

Nutzung

Ihr Webserver kann ohne besondere Maßnahmen sowohl unverschlüsselt (http) als auch verschlüsselt (https) aufgerufen werden:

unverschlüsselt: http://www.mein-servername.de/

verschlüsselt: https://www.mein-servername.de/

Es empfiehlt sich allerdings, uns mitzuteilen, wenn Sie die Verschlüsselung einsetzen möchten, damit wir den Webserver in das zugehörige Zertifikat aufnehmen. Solange dies nicht geschehen ist erhält man in den meisten Webbrowsern (berechtigte) Warnungen, dass die Verbindung nicht "vertrauenswürdig" ist.

Schicken Sie eine Mail an webmaster@lrz.de, mit dem Hinweis, dass Sie https mit Ihrem Webserver nutzen wollen. (Vergessen Sie nicht den Namen Ihres Webservers mit anzugeben.) Wir werden dann die Aufnahme des Webservers in die Liste im Zertifikat veranlassen.

In der Standardkonfiguration liefert der verschlüsselte Webserver dieselben Dateien aus wie der unverschlüsselte, nämlich die Dateien aus dem Ordner htdocs und dessen Unterordnern. Falls der verschlüsselte Webserver einen anderen Inhalt haben soll, so richten Sie bitte parallel zu Ihrem Ordner htdocs den Ordner htdocs-ssl ein und legen dort die Dateien ab, die verschlüsselt übertragen werden sollen. Bitte schicken Sie auch in diesem Fall eine Nachricht an webmaster@lrz.de. Wir werden dann die Konfiguration Ihres Webservers anpassen.

Sie finden weitere Informationen zu 'https' unter 'Das Protokoll HTTPS am Webserver des LRZ'.

In Verbindung mit einer Zugriffskontrolle hat man eine sehr sichere Informationsplattform.

Informationen zum Zertifikat

Um einen https-Server zu betreiben, muss der Webserver über einen privaten Schlüssel für die Verschlüsselung und über ein Zertifikat verfügen, das die Zugehörigkeit des Schlüssels zum Namen des Webservers nach außen dokumentiert (Näheres unter Zertifizierung). Nur mit einem solchen Zertifikat ist eine verschlüsselte Übertragung möglich. Dazu gibt es verschiedene Möglichkeiten:

  • Ohne weitere Vereinbarungen wird ein gemeinsamer Schlüssel für mehrere Webserver in Verbindung mit einem Zertifikat verwendet, das neben dem generischen Namen des 'wwwv.lrz.de' die Namen dieser Server gleichzeitig enthält. Das reicht zur Verschlüsselung auf jeden Fall aus und im Prinzip auch zur Feststellung der Identität des Servers, obwohl das Zertifikat den Servernamen nur als alternativen Namen enthält.

  • Für Webserver aus den Standard-Pools LMU, TUM und MWN wird ein gemeinsamer Schlüssel für die je darin enthaltenen Webserver verwendet. Das Zertifikat hat als Basisnamen die jeweilige Ziel-Adresse, auf die der Webserver im DNS eingetragen ist, also z.B. 'wwwv1.lrz.uni-muenchen.de', 'wwwv4.tum.de' oder 'wwwv1.mwn.de'. Außerdem enthält das Zertifikat eine Liste von Alternativ-Namen, die ebenfalls auf diese Ziel-Adresse zeigen und die gleiche Verschlüsselung nutzen. Das reicht zur Verschlüsselung auf jeden Fall aus und im Prinzip auch zur Feststellung der Identität des Webservers, obwohl das Zertifikat den Webservernamen nur als alternativen Namen enthält.

  • Sie können sich auch ein eigenes Zertifikat über eine der Zertifizierungsstellen am LRZ besorgen lassen. Antragsteller ist in diesem Fall das LRZ selbst als Betreiber des Webservers; von Ihnen wird nur ein formloser Auftrag gebraucht. Diese Variante ist nur notwendig, wenn die Möglichkeit aus dem voranstehenden Punkt aus irgendeinem Grund nicht ausreicht.

  • Schließlich können Sie sich auch Zertifikat und Schlüssel von einer anderen Zertifizierungsstelle besorgen und installieren lassen, wenn es dafür einen wichtigen Grund gibt.

Wildcard-Zertifikate, also solche, bei denen der Servername ein Sternchen für beliebig austauschbare Namensbestandteile enthält, werden nicht mehr verwendet.