Scheinbar hat mich gerade etwas der Zertifikat-Wahn überkommen.
Mit und mit werden alle vHosts auf HTTPS umgestellt – zusätzlich hab ich nun für zwei besondere Seiten eine Client-Zertifikat-Authentifizierung eingerichtet und unserem GitBlit-Server auch noch eins spendiert. Achja.. und HSTS ist nun auch an.
Aber alles wäre ohne die netten Blogger im Netz nicht möglich gewesen:
Der PHP-Gangsta hat mir bei der Client-Zertifikat-Authentifizierung mit seinem Blog sehr geholfen: PHP Gangsta – Client-Zertifikate als Login-Ersatz
Allerdings hab ich meine CA etwas anders aufgesetzt und auch aes256 anstatt des3 verwendet. Da die Maschine aber (sinnigerweise) eh aus ist, ist das alles halb so wild.
Zudem hat er mich inspiriert mal über HSTS nachzudenken und ein anderer Kollege hat die notwendigen Config-Zeilen für den Indianer geliefert:
Pregos – Blog – HSTS mit Apache
Und beim GitBlit hat ein englischsprachiger Kollege geholfen: PointUp.it – Certifikate in Gibtlit installieren. Allerdings muss das an manchen Stellen auch etwas angepasst werden. Ich hab hier ein paar Stunden dran vertan, bis alles so war, wie der Application-Server es haben wollte. Der Trick ist hier, dass auch die Intermediate-Zertifikate mit in dem pkcs12-Container drin sind, damit die Certificate-Chain komplett ist. Ich habe dies einfach über das PFX-Tool von StartCom erledigt, da dies auch brav die ganze Chain (vermutlich aber nur die eigene) hinzufügt.
Den dann über
keytool -importkeystore -srckeystore [vonStartCom.p12] -srcstoretype pkcs12 -destkeystore serverkeyStore.jks
keytool -list -keystore serverKeyStore.jks
keytool -changealias -keystore serverKeyStore.jks -alias "startcom pfx certificate" -destalias class2_2015
importiert und einen „netten“ Aliasnamen gegeben. Anschließend den Alias in der gitblit.properties eintragen, und schon rennt das neue Zertifikat.
Wenn ich jetzt noch herausfinde, wie ich den Gitblit auf HTTPS-Only respektive die entsprechende Weiterleitung umbiege.. dann bin ich glücklich!