Univention Bugzilla – Bug 29374
UCS Apache Zertifikate: SSLCertificateChainFile ermöglichen
Last modified: 2015-10-13 13:55:37 CEST
Created attachment 4832 [details] patch zu /etc/univention/templates/files/etc/apache2/mods-available/ssl.conf Hallo zusammen, Eine Bitte um eine kleine Erweiterung, die meiner Meinung nach unkritisch einzubauen ist, also sogar noch mit UCS 3.1 zu schaffen. Es ist ja möglich, eigene Zertifikate für Apache zu hinterlegen, die passenden univention-config-registry Einträge dazu sind "apache2/ssl/certificate" und "apache2/ssl/key". Es gibt jedoch viele Zertifizierungsstellen, die die Zertifikate nicht direkt mit der rootCA, sondern über ein Zwischenzertifikat zertifizieren. Der passende Eintrag der Apache-Konfiguration dazu ist "SSLCertificateChainFile". Meine Bitte ist, auch Kettenzertifikate im ucr nutzbar zu machen. Die dazu nötigen Schritte sind minimal: # ucr set apache2/ssl/certificatechain="" # patch -p0 \ /etc/univention/templates/files/etc/apache2/mods-available/ssl.conf\ < ssl.conf.patch # ucr commit /etc/apache2/mods-available/ssl.conf Ist ucr 'apache2/ssl/certificatechain' leer, dann pasiert auch keine Änderung zu vorher, daher sowohl eigene als auch das mitgelieferte Zertifikat wird wie vorgesehen genutzt. Der Patch selbst ist angehangen. Folgendes wird eingefügt: + if configRegistry.get('apache2/ssl/certificatechain'): + print 'SSLCertificateChainFile %s' % configRegistry.get('apache2/ssl/certificatechain') Noch etwas in eigener Sache: Ich habe null Erfahrung mit UCS und steige mit 3.1 RC erst ein, habe auch noch nicht alles an verfügbarer Doku durchgelesen und mich gerade erst im Forum angemeldet. Wenn dieser feature request also besser woanders aufgehoben wäre, dann bitte eine kurze Nachricht wie ich das in Zukunft besser machen kann, Danke. Noch etwas Lob: Wenn man sich mit Linux auskennt ist der Einstieg in UCS recht angenehm, das Webinterface gefällt gut. Mir fehlt eine Kommandozeilenreferenz, da ich normalerweise gerne viel direkt über die Konsole erledige fühle ich mich da noch etwas unsicher. Hab ich die nur noch nicht gefunden?
(In reply to comment #0) > Created an attachment (id=4832) [details] > patch zu /etc/univention/templates/files/etc/apache2/mods-available/ssl.conf Danke. > Eine Bitte um eine kleine Erweiterung, die meiner Meinung nach unkritisch > einzubauen ist, also sogar noch mit UCS 3.1 zu schaffen. Leider lassen wir in der aktuellen Phase nur noch kritische Fixes zu. > Noch etwas in eigener Sache: Ich habe null Erfahrung mit UCS und steige mit 3.1 > RC erst ein, habe auch noch nicht alles an verfügbarer Doku durchgelesen und > mich gerade erst im Forum angemeldet. Wenn dieser feature request also besser > woanders aufgehoben wäre, dann bitte eine kurze Nachricht wie ich das in > Zukunft besser machen kann, Danke. Das passt. > Noch etwas Lob: Wenn man sich mit Linux auskennt ist der Einstieg in UCS recht > angenehm, das Webinterface gefällt gut. Mir fehlt eine Kommandozeilenreferenz, > da ich normalerweise gerne viel direkt über die Konsole erledige fühle ich mich > da noch etwas unsicher. Hab ich die nur noch nicht gefunden? Eine Referenz haben wir im Moment noch nicht. Es gibt zu einigen Tools auch Manpages, ansonsten werden wir mit 3.1 auch eine Online Doku zur Verfügung stellen: http://docs.univention.de
Für 3.1-1 umgesetzt (rev 37974)
OK, apache2/ssl/certificatechain funktioniert (SSLCertificateChainFile in /etc/apache2/mods-available/ssl.conf) und ist dokumentiert. Changelog Eintrag vorhanden.
UCS 3.1-1 has been released: http://download.univention.de/doc/release-notes-3.1-1_en.pdf http://download.univention.de/doc/release-notes-3.1-1.pdf If this error occurs again, please use "Clone This Bug".