SSL Config aanbevolen security instellingen

De onderstaande settings in SSL Config zijn aanbevolen om de security level zo hoog mogelijk te blijven:

Invoegen/aanpassen in bestand:
/usr/local/directadmin/custombuild/configure/ap2/conf/extra/httpd-ssl.conf

SSLProtocol All -SSLv2 -SSLv3 -TLSv1
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256


Vervolgens volgende uitvoeren:
service httpd restart

Of als custombuild in directadmin, dan hetvolgende uitvoeren:
cd /usr/local/directadmin/custombuild
./build rewrite_confs

SSL LetsEncrypt

Let’s Encrypt is a free, automated, and open Certificate Authority.

Installatie

Enable LetsEncrypt

# vi /usr/local/directadmin/conf/directadmin.conf

Search for the string

letsencrypt=0

and replace it with

letsencrypt=1
letsencrypt_renewal_days=60

, the 1 representing the enabled state. Save the file.

Restarting DirectAdmin

service directadmin restart

It’s also a good idea to ensure you’ve got the most recent script:

cd /usr/local/directadmin/custombuild
 ./build update
 ./build letsencrypt

Add the /.well-known Alias

cd /usr/local/directadmin/custombuild
 ./build rewrite_confs

Automatically setup LetsEncrypt SSL for all domains that do not currently have a certificate

cd /root
 wget -O autoletsencrypt.sh http://files1.directadmin.com/services/all/letsencrypt/autoletsencrypt.sh
 chmod 755 autoletsencrypt.sh
 ./autoletsencrypt.sh

Configureren van LetsEncrypt

Users should then be able to see the LetsEncrypt option in their ‘Enhanced’ skin via: User Level -> SSL Certificates

I want a multi-domain certificate for my hostname/mailserver using LetsEncrypt

cd /usr/local/directadmin/scripts
 ./letsencrypt.sh request `hostname`,mail.domain.com,smtp.domain.com,www.domain.com,domain.com 4096

Links

SSL

Apache SSL Certificaat aanmaken

Genereren van key file

openssl genrsa -des3 -out server.key 1024

Remove passphase

openssl rsa -in server.key -out server.key.unsecure

Create a Certificate Signing Request (CSR) with the server RSA private key (output will be PEM formatted): Make sure you enter the FQDN (“Fully Qualified Domain Name”) of the server when OpenSSL prompts you for the “CommonName”

openssl req -new -key server.key -out server.csr

Bekijk info:

openssl req -noout -text -in server.csr

Nu opsturen, of Self-Signed Certificate maken

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Installeer een SSL certificaat voor de hostname met behulp van LetsEncrypt

Sinds Direct Admin 1.50.0 hebben ze een nieuwe functie toegevoegd waarmee u LetsEncrypt kunt gebruiken, een tool die gratis basis SSL-certificaten aanbiedt.
Ze hebben het script zo geschreven dat u SSL ook kunt instellen voor uw hostnaam en alle services in één eenvoudige opdracht voor uw hostnaam.
bijvoorbeeld:

cd /usr/local/directadmin/scripts
./letsencrypt.sh request_single uw.hostname.nl 4096

waarmee ook de nieuwe cert / key / ca-bestanden worden geïnstalleerd op alle respectieve plaatsen voor apache, dovecot, exim, ftp en DirectAdmin.
OPMERKING De hostnaamwaarde, bijvoorbeeld: uw.hostname.nl moet overeenkomen met de waarde “servernaam” die is ingesteld in directadmin.conf, anders staat deze niet in de hostnaammodus, maar in plaats daarvan in de modus Gebruikersdomein.

Vervolgens moet u SSL inschakelen in DA en aan DA vertellen om de carootcert te gebruiken, en de hostnaam voor SSL forceren:

cd /usr/local/directadmin
./directadmin set ssl 1
./directadmin set carootcert /usr/local/directadmin/conf/carootcert.pem
./directadmin set ssl_redirect_host your.hostname.com
service directadmin restart