Jan Ulrich Hasecke
2019-11-06 cb5439576ca3bdcc0fdb98f347dae1b22c787860
Kapitel TLS
4 files added
4 files deleted
8 files modified
3 files renamed
267 ■■■■ changed files
source/glossar.rst 80 ●●●●● patch | view | raw | blame | history
source/index.rst 9 ●●●●● patch | view | raw | blame | history
source/referenz/domain/filemap-mit-ssl.rst 7 ●●●●● patch | view | raw | blame | history
source/referenz/domain/filemap-ohne-ssl.rst 7 ●●●●● patch | view | raw | blame | history
source/referenz/domain/index.rst 8 ●●●●● patch | view | raw | blame | history
source/referenz/tls/eigene-tls-zertifikate.rst 4 ●●● patch | view | raw | blame | history
source/referenz/tls/filemap-mit-ssl.rst 31 ●●●●● patch | view | raw | blame | history
source/referenz/tls/filemap-mit-tls.dot 2 ●●● patch | view | raw | blame | history
source/referenz/tls/filemap-ohne-ssl.rst 31 ●●●●● patch | view | raw | blame | history
source/referenz/tls/filemap-ohne-tls.dot patch | view | raw | blame | history
source/referenz/tls/index.rst 35 ●●●● patch | view | raw | blame | history
source/referenz/tls/letsencrypt.rst 4 ●●● patch | view | raw | blame | history
source/referenz/tls/standard.rst 20 ●●●●● patch | view | raw | blame | history
source/referenz/tls/varianten.rst 3 ●●●●● patch | view | raw | blame | history
source/referenz/webpaket/dateien-paket-admin.rst 7 ●●●●● patch | view | raw | blame | history
source/referenz/webpaket/index.rst 1 ●●●● patch | view | raw | blame | history
source/referenz/webpaket/speicherbelegung.rst 7 ●●●● patch | view | raw | blame | history
source/referenz/webpaket/verzeichnisse.rst 9 ●●●●● patch | view | raw | blame | history
source/referenz/zonefile/index.rst 2 ●●● patch | view | raw | blame | history
source/glossar.rst
New file
@@ -0,0 +1,80 @@
.. _kap-glossar:
=======
Glossar
=======
.. glossary:: :sorted:
   SCP
    Secure CoPy (Abk. SCP) ist ein ein Programm zur verschlüsselten Übertragung von Daten.
   Grace Period
    Frist nach Überschreitung des Softlimit bis das Hardlimit der Quota erreicht ist.
   Quota
    Begrenzung des Speicherplatzes für einen Nutzer oder einer Gruppe.
   .htaccess
    Die Datei ist eine Konfigurationsdatei auf dem Webserver, in der verzeichnisbezogene Regeln aufgestellt werden können.
   Benutzer
    Benutzer sind Unix-, Shell-, FTP- und E-Mail-Nutzer.
   Paket-Admin
    Ein Benutzer, der Administrator eines Web-Pakets ist.
   Domain-Admin
    Ein Benutzer, dem mindestens eine Domain zugeordnet ist.
   Domain-Bestell-System
    Webfrontend zur Registrierung von Domains
   Domain-Registrierung
    Der Vorgang, um eine Domain zu registrieren.
   Domain-Transfer
    Umzug einer Domain zu einem anderen Registrar/Provider. Es wird der Eintrag in der Registry-Datenbank geändert,
    der definiert, welcher Registrar für diese Domain und deren Inhaber zuständig ist.
   E-Mail-Alias
    Virtuelle E-Mail-Empfänger für spezielle Aufgaben.
    Ein E-Mail-Alias ist eine E-Mail-Adresse zur Weiterleitung von E-Mails.
   extern registrierte Domain/Sub-Domain
    Die Domain oder Sub-Domain ist bei einem anderen Registrar/Provider registriert. Die damit verbundenen Dienste
    sollen von der Hostsharing eG erbracht werden.
   Greylisting
    Greylisting ist eine Form der Spam-Bekämpfung, bei der die erste E-Mail von unbekannten Absendern zunächst abgewiesen
    und erst nach einem weiteren Zustellversuch angenommen wird.
   Hive
    Bezeichnet eine virtuelle Maschine.
   Host
    Bezeichnet eine physikalische Maschine.
   HSAdmin
    Verwaltungstool der Hostsharing eG.
   Mitgliedsaccount
    Account zur Verwaltung der Mitgliedschaft in der Genossenschaft.
   shell
    Unix-Shell, Traditionelle Benutzerschnittstelle unter Unix oder ähnlichen Betriebssystemen.
   Sub-Domain
    Eine Sub-Domain ist eine Domain, die unterhalb einer anderen liegt (z.B. test.example.com und www.example.com liegen unerhalb von example.com)
   SSI
    Server Side Includes sind in Dokumente eingebettete Skript-Befehle, die auf einem Webserver ausgeführt werden, bevor das Dokument an den Client ausgeliefert wird.
   xyz00
    Synonym für ein Web-Paket.
   xyz00_
    Synonym: Präfix für einen Datenbanknamen oder einen Datenbanknutzer.
   xyz
    Synonym für einen Mitgliedsnamen.
source/index.rst
@@ -12,13 +12,10 @@
Wir legen Wert auf Transparenz, Datensicherheit und Datenschutz.
Erfahren Sie mehr über Hostsharing auf https://www.hostsharing.net.
Dieses Handbuch richtet sich an Anwender, welche ihre Internetprojekte
bei der Hostsharing eG betreiben möchten.
Es bietet einen Überblick über die Infrastruktur, eine Einführung
in deren Nutzung sowie eine Beschreibung typischer Prozesse.
Dieses Handbuch richtet sich an Anwender, welche ihre Internetprojekte bei der Hostsharing eG betreiben möchten.
Es bietet einen Überblick über die Infrastruktur, eine Einführung in deren Nutzung sowie eine Beschreibung typischer Prozesse.
Unser besonderer Dank gilt allen, die zu diesem Handbuch beigetragen haben,
insbesondere:
Unser besonderer Dank gilt allen, die zu diesem Handbuch beigetragen haben, insbesondere:
  - Purodha Blissenbach
  - Christian Günter
source/referenz/domain/filemap-mit-ssl.rst
File was deleted
source/referenz/domain/filemap-ohne-ssl.rst
File was deleted
source/referenz/domain/index.rst
@@ -11,8 +11,8 @@
* :term:`Domain-Transfer` zur Hostsharing eG,
* Extern registrierte Domain aufschalten,
* Extern registrierte :term:`Sub-Domain` aufschalten,
* Domain neu zuordnen (:doc:`Domain-Admin <../benutzer/domain-admin>` neu zuordnen oder Zuordnung zu einem :doc:`Web-Paket<../webpaket/index>` ändern),
* Sub-Domain neu zuordnen (:doc:`Domain-Admin<../benutzer/domain-admin>` neu zuordnen oder Zuordnung zu einem :doc:`Web-Paket<../webpaket/index>` ändern),
* Domain neu zuordnen (:role:`Domain-Admin` neu zuordnen oder Zuordnung zu einem :doc:`Web-Paket<../webpaket/index>` ändern),
* Sub-Domain neu zuordnen (:role:`Domain-Admin` neu zuordnen oder Zuordnung zu einem :doc:`Web-Paket<../webpaket/index>` ändern),
* Lokale Sub-Domain separat aufschalten,
* Verwaltung des :doc:`Zonefile<../zonefile/index>`,
* Verwaltung der Domain-Daten (z.B. Domain-Handle, Kontaktdaten),
@@ -26,9 +26,7 @@
    :maxdepth: 1                
         
    domainverwaltung
    paket-subdomain
    filemap-ohne-ssl
    filemap-mit-ssl
    paket-subdomain
source/referenz/tls/eigene-tls-zertifikate.rst
@@ -1,9 +1,11 @@
======================
Eigene TLS-Zertifikate 
======================
Für die Installation eigener Zertifikate einer Zertifizierungsstelle muss der :doc:`Paket-Admin<../benutzer/paket-admin>` einen "Private Key" und einen CSR  (Certificate Signing Request) erzeugen.
Für die Installation eigener Zertifikate einer Zertifizierungsstelle muss der :role:`Paket-Admin` einen ›Private Key‹ und einen CSR  (Certificate Signing Request) erzeugen.
Die Vorgehensweise ist in der Regel auf den Webseiten der Zertifizierungsstelle beschrieben. 
Weitere Hinweise sind im Hostsharing Wiki unter `SSL <https://wiki.hostsharing.net/index.php?title=SSL>`_ beschrieben.
Für die Aktivierung des Zertifikates wird ein Auftrag an service@hostsharing.net gesendet.
.. todo:: Evtl. ausführlich beschreiben und aus Wiki übernehmen.
source/referenz/tls/filemap-mit-ssl.rst
New file
@@ -0,0 +1,31 @@
=====================
Filemapping  mit  TLS
=====================
In der folgenden Grafik ist der Entscheidungsweg beschrieben, der durchlaufen wird, um einem anfragenden Browser die richtige Datei auszuliefern. TLS ist aktiv.
.. graphviz:: filemap-mit-tls.dot
Zunächst wird für die Anfrage :file:`https://www.example.com/<path>` der Virtual Host gesucht, der zum FQDN (Full Qualified Domain Name) passt.
Anschließend entscheiden folgende Fragen über den weiteren Verlauf des Entscheidungswegs.
1. Starten wir mit cgi-ssl?
    a. Ja: Das Verzeichnis :file:`cgi-ssl` wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.
    b. Nein: Weiter zu Frage 2
2. Starten wir mit fastcgi-ssl?
    a. Ja: Das Verzeichnis :file:`fastcgi-ssl` wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.
    b. Nein aber es gibt einen FQDN-Treffer, deshalb wird :file:`htdocs-ssl` zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert. Ist das nicht der Fall geht es weiter zu Frage 3.
3. Gibt es eine passende Sub-Domain?
    a. Ja: Das Verzeichnis :file:`subs-ssl` wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.
    b. Nein: Weiter zu Frage 4
4. Ist das Verzeichnis :file:`htdocs-ssl` als Fallback konfiguriert?
    a. Ja: Das Verzeichnis :file:`htdocs-ssl` wird zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert.
    b. Nein: Es wurde nichts gefunden. Wir liefern die Fehlermeldung 404 aus.
source/referenz/tls/filemap-mit-tls.dot
File was renamed from source/referenz/domain/filemap-mit-tls.dot
@@ -13,7 +13,7 @@
    root_htdocs_ok [shape=record, label="root = htdocs-ssl"]
    root_search_in_subs [shape=diamond, label="Gibt es eine passende Sub-Domain?"]
    root_subs_ok [shape=record, label="root = subs-ssl"]
    htdocsfallback_subs [shape=diamond, label="Ist htdocs fallback aktiv?" ]
    htdocsfallback_subs [shape=diamond, label="Ist htdocs-ssl fallback aktiv?" ]
    404 [shape=record, label="Error 404"] 
        
    vh_check_fqdn -> path_cgi_bin 
source/referenz/tls/filemap-ohne-ssl.rst
New file
@@ -0,0 +1,31 @@
====================
Filemapping ohne TLS
====================
In der folgenden Grafik ist der Entscheidungsweg beschrieben, der durchlaufen wird, um einem anfragenden Browser die richtige Datei auszuliefern. TLS ist nicht aktiv.
.. graphviz:: filemap-ohne-tls.dot
Zunächst wird für die Anfrage :file:`http://www.example.com/<path>` der Virtual Host gesucht, der zum FQDN (Full Qualified Domain Name) passt.
Anschließend entscheiden folgende Fragen über den weiteren Verlauf des Entscheidungswegs.
1. Starten wir mit cgi-bin?
    a. Ja: Das Verzeichnis :file:`cgi-bin` wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.
    b. Nein: Weiter zu Frage 2
2. Starten wir mit fastcgi?
    a. Ja: Das Verzeichnis :file:`fastcgi` wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.
    b. Nein aber es gibt einen FQDN-Treffer, deshalb wird :file:`htdocs` zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert. Ist das nicht der Fall geht es weiter zu Frage 3.
3. Gibt es eine passende Sub-Domain?
    a. Ja: Das Verzeichnis :file:`subs` wird zum Wurzelverzeichnis und eine passende Datei daraus wird ausgeliefert.
    b. Nein: Weiter zu Frage 4
4. Ist das Verzeichnis :file:`htdocs` als Fallback konfiguriert?
    a. Ja: Das Verzeichnis :file:`htdocs` wird zum Wurzelverzeichnis und eine passende Datei daraus ausgeliefert.
    b. Nein: Es wurde nichts gefunden. Wir liefern die Fehlermeldung 404 aus.
source/referenz/tls/filemap-ohne-tls.dot
source/referenz/tls/index.rst
@@ -2,34 +2,17 @@
TLS Zertifikate
===============
Standardkonfiguration
---------------------
Pro :doc:`aufgeschalteter Domain<../../anleitung/domain>` ist ein Zertifikat möglich .
TLS-Inhalte werden durch die Verzeichnisse
* cgi-ssl
* fastcgi-ssl
* htdocs-ssl
von Nicht-TLS-Inhalten getrennt.
.. note::
        Hostsharing stellt ein TLS-Zertifikat für die Domain \*.hostsharing.net zur Verfügung, welches mit der Paketdomain xyz00.hostsharing.net genutzt werden kann.
        Bei einer Nutzung abseits der Paketdomain muss das Zertifikat vom Browser explizit bestätigt werden, da das Zertifikat nicht zur aufgerufenen Domain passt.
Inhalt:
.. todo:: Einleitende Worte einfügen
.. toctree::       
        :maxdepth: 1
        varianten
        eigene-tls-zertifikate
        letsencrypt
   :maxdepth: 1
   standard
   varianten
   eigene-tls-zertifikate
   letsencrypt
   filemap-ohne-ssl
   filemap-mit-ssl
source/referenz/tls/letsencrypt.rst
File was renamed from source/referenz/letsencrypt.rst
@@ -1,3 +1,5 @@
.. todo:: Überarbeiten Bilder austauschen
.. _kap-le-einrichten:
========================
@@ -15,7 +17,7 @@
Aufruf des Webfrontends über den Link https://admin.hostsharing.net.
Es wird die Benutzerkennung des :doc:`Paketadmins<../referenz/benutzer/paket-admin>` (xyz00) beim Benutzernamen und im Passwortfeld das entsprechende Passwort eingetragen.
Es wird die Benutzerkennung des :role:`Paketadmins<Paket-Admin>` (xyz00) beim Benutzernamen und im Passwortfeld das entsprechende Passwort eingetragen.
.. figure:: ../images/hsadmin-login-pa.jpg
source/referenz/tls/standard.rst
New file
@@ -0,0 +1,20 @@
.. _kap-tls-standardkonfiguration:
=====================
Standardkonfiguration
=====================
Pro :doc:`aufgeschalteter Domain<../domain/index>` ist ein Zertifikat möglich .
TLS-Inhalte werden durch die Verzeichnisse
* cgi-ssl
* fastcgi-ssl
* htdocs-ssl
von Nicht-TLS-Inhalten getrennt.
.. note::
        Hostsharing stellt ein TLS-Zertifikat für die Domain \*.hostsharing.net zur Verfügung, welches mit der Paketdomain xyz00.hostsharing.net genutzt werden kann.
        Bei einer Nutzung abseits der Paketdomain muss das Zertifikat vom Browser explizit bestätigt werden, da das Zertifikat nicht zur aufgerufenen Domain passt.
source/referenz/tls/varianten.rst
@@ -9,9 +9,12 @@
symbolische Links auf Nicht-TLS Verzeichnisse angelegt werden. Dies gilt selektiv auch für Unterverzeichnisse. 
Symbolische Links erlauben es, Seiten mit und ohne TLS abzurufen.
.. todo:: Mit einem Beispiel erklären
Automatisch auf TLS
-------------------
Soll nur auf bestimmten Seiten der Zugriff mit TLS erlaubt und automatisch auf TLS umgeschaltet werden, muss dies in einer 
entsprechenden .htaccess-Datei für die betroffenen Verzeichnisse konfiguriert werden.
.. todo:: Mit einem Beispiel erklären
source/referenz/webpaket/dateien-paket-admin.rst
File was deleted
source/referenz/webpaket/index.rst
@@ -48,6 +48,5 @@
   verzeichnisebenen-paket-admin
   verzeichnisebenen-domain-admin
   verzeichnisebenen-email-nutzer
   dateien-paket-admin
   speicherbelegung      
source/referenz/webpaket/speicherbelegung.rst
@@ -5,7 +5,7 @@
Jedem Web-Paket steht nur ein begrenzter Speicher zur Verfügung.
Der tatsächlich belegte Speicher darf den gebuchten nicht dauerhaft überschreiten.
Zum belegten Speicher zählen neben den sichtbaren Dateien in :file:`/home/pacs/xyz00` die Sicherungen der :doc:`Datenbanken<../datenbanken/index>` unter /home/pacs/xyz00/.bak/ sowie gegebenenfalls in :file:`/home/restore` vorhandene Dateien und temporäre Daten im Verzeichnis ``/tmp``.
Zum belegten Speicher zählen neben den sichtbaren Dateien in :file:`/home/pacs/xyz00`, die Sicherungen der Datenbanken unter :file:`/home/pacs/xyz00/.bak/` sowie gegebenenfalls Dateien in :file:`/home/restore` oder temporäre Daten im Verzeichnis ``/tmp``.
Die Speicherbegrenzung für ein Web-Paket ist unter Linux durch ein Quota für die Gruppe ``xyz00`` realisiert. 
Die aktuelle Belegung lässt sich mit dem Kommando
@@ -30,3 +30,8 @@
- Die maximale Anzahl der Dateien ist auf 6.292.000 beschränkt
- Sobald das Quota überschritten wird, würde unter ``grace`` die verbleibende Zeit angezeigt, innerhalb derer wieder das Quota unterschritten sein muss.
  Sonst wird das Paket gesperrt, das heißt es können keine Dateien mehr angelegt werden, E-Mails werden nicht mehr zugestellt.
Falls Sie dauerhaft mehr Speicherplatz benötigen, können Sie diesen jederzeit hinzubuchen.
Wenden Sie sich dazu an den Service_.
.. _Service: mailto:service@hostsharing.net
source/referenz/webpaket/verzeichnisse.rst
File was deleted
source/referenz/zonefile/index.rst
@@ -3,7 +3,7 @@
============================
Zonefile
============================
Das Zonefile enthält die Konfiguration des Domain Name Service (DNS) einer :doc:`Domain<../domain/index>`. Im Zonefile wird hinterlegt, welche Hostnamen innerhalb einer Domain existieren, auf welche IP-Adressen
Das Zonefile enthält die Konfiguration des Domain Name Service (DNS) einer Domain. Im Zonefile wird hinterlegt, welche Hostnamen innerhalb einer Domain existieren, auf welche IP-Adressen
diese zeigen und welches Mailsystem für eine Domain zuständig ist. 
Das Standardzonefile ist für jede Domain unter ``/etc/bind/pri.example.de`` zu finden.