Zertifikatskette für Nginx

Bei einigen Zertifikaten die im Nginx verwendet werden, ist es notwendig die gesamte Zertifikatskette in dem Zertifikat mit anzugeben.

Das geht super einfach mit cat auf der Konsole:

cat domain.tld.crt sub-ca.cer > domain-bundle.crt

Erst also das eigentliche Zertifikat für die Domäne (domain.tld) – dann die Zwischenzertifizierungsstelle (sub-ca). Die Stammzertifizierungsstelle (Root-CA) wird meistens nicht benötigt.

Manchmal muss man aber doch auch das Root-CA mit in Kette mit aufnehmen (z.B. bei Zertifikate einer eigenen CA) – dann wäre es:

cat domain.tld.crt sub-ca.cer root-ca.cer > domain-bundle.crt

Erst also das eigentliche Zertifikat für die Domäne (domain.tld) – dann die Zwischenzertifizierungsstelle (sub-ca) und am Schluss die Stammzertifizierungsstelle (root-ca).

Wenn man die Zertifikate von Windows-Systemen bekommt, sollte man alle vorher mit

openssl x509 -inform der -in certificate.cer -out certificate.pem

umwandeln und dann eben mit

cat domain.tld.pem sub-ca.pem root-ca.pem > domain-bundle.crt

weiterverarbeiten.

In der Nginx-Config jetzt enfach das bundle.crt in der Zeile

ssl_certificate /etc/nginx/ssl/domain-bundle.crt;

angeben und nginx dann neustarten.

Seafile mit NGINX und MySQL unter Debian installieren

Seafile ist eine Open Source Software mit der man seine eigene (selbst gehostete) Cloud zum Austausch von Dateien, Zusammenarbeit mit Anderen und noch mehr betreiben kann – eine Alternative zu Diensten wie Dropbox, OneDrive oder Google Drive.

Ich werde hier die Einrichtung von Seafile auf einem Debian-System (aktuell 7.5) mit NGINX als Webserver und MySQL als Datenbank beschreiben. Dazu werde ich noch beschreiben wie man die Zugriffe mit SSL (HTTPS) verschlüsselt und so einen sicheren Zugriff auf die Daten gewährt. Ich mache das hier ein bischen ausführlicher und immer Schritt für Schritt – sollte so für jeden nachzubauen sein Weiter

ReverseProxy für EAS (Exchange ActiveSync) und OWA (OutlookWebApp) mit NGINX

Falls man ActiveSync und OWA anbieten will, sollte dies unbedingt über einen ReverseProxy gelöst werden. Diesen ReverseProxy für die Exchange-Dienste kann man auch mit dem Webserver NGINX auf Linux (in meinem fall Ubuntu Server) lösen. Da Microsoft den TMG eingestellt hat ist diese Kombination auch eine gute Alternative – wenn man auf OutlookAnywhere (RPC over HTTPS) verzichten kann. NGINX unterstützen kein RPCoverHTTPS – das neue MAPIoverHTTPS ist aber möglich – ActiveSync (DirectPush) und OWA funktionieren aber wunderbar.

Hier eine kleine Anleitung wie man dies implementiert.

Weiter