Diese Anleitung befasst sich mit der Unterstützung sicherer Hash-Funktionen (insbesondere SHA-256) durch die Infomaniak-Server sowie mit dem Schwerpunkt auf die Sicherheit der SSL/TLS-Zertifikate unter Verwendung von mit SHA-256 generierten CSR.

Hash-Algorithmus SHA-256

Die kryptografische Hash-Funktion SHA-1 ist kompatibel und die Infomaniak-Server unterstützen auch die SHA-256-Funktion, die insbesondere für Paypal und SaferPay (SIX) nützlich ist.

Die CSR (Certificate Signing Requests) sind in SHA-256 und nicht in SHA-1.

Diese Anleitung erklärt, wie…

1. … eine CSR und einen privaten Schlüssel erstellen, um ein Zertifikat von einer Zertifizierungsstelle (CA) zu beantragen,
2. … dieses Zertifikat für Ihre Infomaniak-Website importieren, mithilfe der CRT, die Sie von der CA erhalten haben.

Vorbemerkung

• Obwohl Infomaniak alle SSL-Zertifikate anbietet, die Sie benötigen könnten…
  • kostenlose Let's Encrypt Zertifikate für persönliche Websites (nur möglich mit bei Infomaniak gehosteten Websites),
  • DV Zertifikate von Sectigo für berufliche/private Websites, die nicht im Handelsregister eingetragen sind,
  • EV Zertifikate von Sectigo für Unternehmen, die im Handelsregister eingetragen sind,
• … es ist auch möglich, ein SSL-Zertifikat zu installieren, das woanders erhalten wurde (Zwischenzertifikat/intermediate von einer Zertifizierungsstelle Ihrer Wahl), benutzerdefinierte oder selbstsignierte Zertifikate.

1. Eine CSR (Certificate Signing Request) erstellen

Eine CSR (Certificate Signing Request oder Zertifikatsignieranfrage) ist eine codierte Datei, die die notwendigen Informationen zum Anfordern eines SSL/TLS-Zertifikats enthält.

Sie muss auf Ihrer Seite erstellt werden, um sicherzustellen, dass der private Schlüssel unter Ihrer Kontrolle bleibt, indem Sie beispielsweise OpenSSL verwenden.

Passen Sie den folgenden Befehl an und führen Sie ihn in einer Anwendung vom Typ Terminal (Kommandzeilenschnittstelle, CLI / Command Line Interface) auf Ihrem Gerät aus:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Erläuterungen

• newkey rsa:2048: Erzeugt einen neuen RSA-Schlüssel mit 2048 Bit.
• keyout domain.xyz.key: Gibt die Datei an, in der der private Schlüssel gespeichert wird.
• out domain.xyz.csr: Gibt die Datei an, in der die CSR gespeichert wird.
• addext „subjectAltName = ...“: Fügt zusätzliche Domänen über die Erweiterung SAN (Subject Alternative Name) hinzu, die erforderlich ist, um alle gewünschten Domänen im Zertifikat zu enthalten (die Hauptdomäne domain.xyz + jede andere zugehörige Domäne oder Subdomäne, wie www.domain.xyz).

Nach der Erstellung können Sie den Inhalt der CSR mit dem folgenden Befehl überprüfen:

openssl req -in domain.xyz.csr -noout -text

Dadurch wird überprüft, dass alle in subjectAltName aufgeführten Domänen korrekt enthalten sind.

Sobald die CSR erstellt wurde, können Sie diese an die Zertifizierungsstelle (CA) senden, um Ihr SSL/TLS-Zertifikat zu erhalten.

2. Externes Zertifikat importieren

Nach der Validierung stellt die CA ein Zertifikat (domain.xyz.crt) und manchmal ein Zwischenzertifikat (ca_bundle.crt) aus. Um auf die Verwaltung der SSL-Zertifikate zuzugreifen:

1. Klicken Sie hier, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigen?).
2. Klicken Sie direkt auf den Namen, der dem betreffenden Produkt zugeordnet ist.
3. Klicken Sie auf SSL-Zertifikate im linken Seitenmenü.
4. Klicken Sie auf die blaue Schaltfläche Zertifikat installieren:
   
5. Wählen Sie das benutzerdefinierte Zertifikat aus.
6. Klicken Sie auf die Schaltfläche Weiter:
   
7. Importieren Sie Ihr Zertifikat und den privaten Schlüssel, entweder durch Importieren der Dateien .crt und .key oder durch Kopieren und Einfügen.
8. Klicken Sie auf Abschließen:
   

Alternative Befehl zum Generieren eines selbstsignierten Zertifikats (optional)

Wenn Sie ein lokales Zertifikat nur für Tests oder ohne eine CA (nicht für die Produktion empfohlen) benötigen, können Sie diesen Befehl verwenden:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Dies erzeugt sowohl ein selbstsigniertes Zertifikat (domain.xyz.crt) als auch einen privaten Schlüssel (domain.xyz.key). Selbstsignierte Zertifikate werden jedoch von Browsern oder öffentlichen Systemen nicht als gültig anerkannt. Sie eignen sich nur für interne oder Entwicklungsumgebungen.

Ein Zwischenzertifikat importieren

Beim Hinzufügen eines benutzerdefinierten SSL-Zertifikats ist es möglich, das Zwischenzertifikat zu importieren (durch Importieren der .crt Datei oder Einfügen der vom Zertifizierungsstellen bereitgestellten Daten):

Die Norm BIMI (Brand Indicators for Message Identification, "Markenindikatoren zur Nachrichtenidentifikation"), bietet Unternehmen die Möglichkeit, ihr Logo in gesendete E-Mails einzubinden. PräambelDie Anwendungen von Infomaniak (und anderer Unternehmen weltweit - siehe das Kapitel "im Falle von Problemen" unten) sind mit BIMI kompatibel und zeigen die Logos neben den empfangenen E-Mails an.

Die Mail-Dienste von Infomaniak ermöglichen die Konfiguration der E-Mail-Konten mit Ihrem Logo (bitte die Voraussetzungen sorgfältig lesen); die Vorteile sind zahlreich:

• Erhöhung des Vertrauens: Die Empfänger können Ihre E-Mails visuell identifizieren, wodurch das Risiko von Phishing reduziert wird. Stärkung der Marke: Ein gut sichtbares Logo im Posteingang stärkt die Markenbekanntheit. Bessere Zustellbarkeit: E-Mails, die DMARC entsprechen, haben größere Chancen, den Hauptposteingang zu erreichen.
• 1. Erstellen Sie ein Logo
  • Erstellen Sie ein Logo im SVG-Format ("Scalable Vector Graphics"). Dieses Format ist erforderlich, da es eine optimale Qualität unabhängig vom Gerät oder der Anzeigegröße gewährleistet.
  • Um auf der Infomaniak-Oberfläche importiert zu werden (siehe unten), darf es 10 MB nicht überschreiten, es kann jedoch auch auf einem öffentlich zugänglichen, sicheren Server gehostet werden, und es muss nur die URL für die BIMI-DNS-Registrierung angegeben werden.
  • 2. Erhalten Sie das VMC-Zertifikat

<p>Ein Zertifikat für ein überprüftes Logo (VMC) ist erforderlich; es bestätigt, dass Sie der rechtmäßige Eigentümer des Logos sind. Sie können dieses Zertifikat von anerkannten Zertifizierungsstellen wie <a href="https://www.digicert.com/tls-ssl/verified-mark-certificates" target="_blank">DigiCert</a> und <a href="https://www.entrust.com/vmc" target="_blank">Entrust</a> erhalten.</p>

Wenn Ihr VMC-Zertifikat ausgestellt wird, erhalten Sie eine PEM-Datei, die das Zertifikat der Entität enthält. Diese PEM-Datei enthält Ihr Logo im SVG-Format sowie das VMC.3. Logo zum Mail-Service hinzufügenVoraussetzungen

<li>Alle Anzeigen <a href="https://faq.infomaniak.com/2692" target="_blank">Globale Sicherheit</a> Ihres Mail-Service müssen grün sein (SPF + DKIM + DMARC)!</li>

Um auf den Mail-Service zuzugreifen und ihm das Logo Ihres Unternehmens zuzuweisen:

• Klicken Sie hier, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigt?).

Klicken Sie direkt auf den Namen, der dem betreffenden Produkt zugewiesen ist.

Klicken Sie in der linken Seitenleiste auf Globale Sicherheit.

<li>Klicken Sie auf die Schaltfläche Erstellen (im Abschnitt <i>BIMI</i>):<br/><img height="496" src="https://faq.storage5.infomaniak.com/b298838efa9b7c0565067677ff4dd01d5bf3a651.png" width="1151"/></li>

Füllen Sie die angeforderten Informationen anhand der erhaltenen Dokumente aus (siehe Kapitel 2 oben) und vergessen Sie nicht, zu speichern.

Im Fehlerfall

Wenn die Schaltfläche Erstellen im BIMI-Rahmen grau bleibt, überprüfen Sie bitte die Informationsmeldungen: DMARC kann vorhanden sein, aber nicht den erforderlichen Ablehnungsprozentsatz haben, passen Sie daher die Parameter entsprechend den Anweisungen an.

1. Wenn mehrere Domänen mit dem Mail-Service verbunden sind, müssen Sie sicherstellen, dass Sie über ein Zertifikat für jede verbundene Domäne verfügen, wenn Sie BIMI für diese Domänen wünschen.
2. <li>Zu beachten ist, dass <a href="https://faq.infomaniak.com/2434" target="_blank">Microsoft Outlook</a>, <a href="https://faq.infomaniak.com/1316" target="_blank">Apple Mail</a>, <a href="https://faq.infomaniak.com/2430" target="_blank">Thunderbird</a>, die App <a href="https://faq.infomaniak.com/2433" target="_blank">Mail</a> von Samsung und andere BIMI noch nicht übernommen haben.</li>

BIMI deaktivieren

1. Um BIMI zu deaktivieren, gehen Sie einfach zur Verwaltungseite des mit dem Mail-Service verbundenen Domainnamens und löschen Sie die entsprechende TXT-Eintragung.

En cas de problème

• Si le bouton Créer dans l'encadré BIMI reste gris, bien vérifier les messages informatifs: le DMARC peut exister mais ne pas être au pourcentage de rejet requis, donc ajuster les paramètres selon les indications.
• Lorsqu'il y a plusieurs domaines liés au Service Mail, il faut s'assurer de posséder un certificat sur chaque domaine lié si vous souhaitez BIMI sur ceux-ci.
• À noter que Microsoft Outlook, Apple Mail, Thunderbird, l'app Mail de Samsung, entre autres, n'ont pas encore adopté BIMI.

Désactiver BIMI

Pour désactiver BIMI il suffit de vous rendre sur la page de gestion du nom de domaine lié au Service Mail et de supprimer l'enregistrement TXT correspondant.

Dieser Leitfaden hilft Ihnen beispielsweise, wenn Sie ein Paket wie pymysql bereitstellen möchten und dieses eine höhere Python-Version als die auf Ihrem Hosting angebotene erfordert.

Vorbemerkung

• Anaconda ist eine freie und Open-Source-Distribution der Programmiersprache Python. Diese Distribution zielt darauf ab, die Verwaltung von Paketen und den Einsatz zu vereinfachen.
• Es wird empfohlen, conda zu verwenden, das mit einer aktuellen Version von Python geliefert wird und sich im Benutzerbereich installiert, sodass es zu keinen Konflikten mit dem System-Python kommt (wie in einer virtuellen Umgebung, die immer eine Systeminstallation der gewünschten Version erfordert).
• Nehmen Sie die offizielle Dokumentation zur Kenntnis.
   

Installer herunterladen

uid165116@od-12345:~$ wget https://repo.anaconda.com/miniconda/Miniconda3-py37_4.10.3-Linux-x86_64.sh
--2021-07-28 18:21:10--  https://repo.anaconda.com/miniconda/Miniconda3-py37_4.10.3-Linux-x86_64.sh
Resolving repo.anaconda.com (repo.anaconda.com)... 2606:4700::6810:8303, 2606:4700::6810:8203, 104.16.131.3, ...
Connecting to repo.anaconda.com (repo.anaconda.com)|2606:4700::6810:8303|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 89026327 (85M) [application/x-sh]
Saving to: ‘Miniconda3-py37_4.10.3-Linux-x86_64.sh’

Miniconda3-py37_4.10.3-Linux-x86_64.sh          100% [==============================================>]  84.90M   203MB/s   in 0.4s   

18:21:11 (100 MB/s) - ‘Miniconda3-py37_4.10.3-Linux-x86_64.sh’ saved [89026327/89026327]

Die Prüfsumme überprüfen

uid165116@od-12345:~$ test $(md5sum Miniconda3-py37_4.10.3-Linux-x86_64.sh | awk '{print $1}') == "9f186c1d86c266acc47dbc1603f0e2ed" && echo "OK" 
OK

Installation starten

uid165116@od-12345:~$ bash Miniconda3-py37_4.10.3-Linux-x86_64.sh -b
PREFIX=/home/clients/fc84cbbf6dcbd6dd76b15d3e56c1789f/miniconda3
Unpacking payload ...
Collecting package metadata (current_repodata.json): done                                                                                           
Solving environment: done

## Package Plan ##

environment location: /home/clients/fc84cbbf6dcbd6dd76b15d3e56c1789f/miniconda3

added / updated specs:
    - _libgcc_mutex==0.1=main
    - _openmp_mutex==4.5=1_gnu
    - brotlipy==0.7.0=py37h27cfd23_1003
    - ca-certificates==2021.7.5=h06a4308_1
    - certifi==2021.5.30=py37h06a4308_0
    - cffi==1.14.6=py37h400218f_0
    - chardet==4.0.0=py37h06a4308_1003
    - conda-package-handling==1.7.3=py37h27cfd23_1
    - conda==4.10.3=py37h06a4308_0
    - cryptography==3.4.7=py37hd23ed53_0
    - idna==2.10=pyhd3eb1b0_0
    - ld_impl_linux-64==2.35.1=h7274673_9
    - libffi==3.3=he6710b0_2
    - libgcc-ng==9.3.0=h5101ec6_17
    - libgomp==9.3.0=h5101ec6_17
    - libstdcxx-ng==9.3.0=hd4cf53a_17
    - ncurses==6.2=he6710b0_1
    - openssl==1.1.1k=h27cfd23_0
    - pip==21.1.3=py37h06a4308_0
    - pycosat==0.6.3=py37h27cfd23_0
    - pycparser==2.20=py_2
    - pyopenssl==20.0.1=pyhd3eb1b0_1
    - pysocks==1.7.1=py37_1
    - python==3.7.10=h12debd9_4
    - readline==8.1=h27cfd23_0
    - requests==2.25.1=pyhd3eb1b0_0
    - ruamel_yaml==0.15.100=py37h27cfd23_0
    - setuptools==52.0.0=py37h06a4308_0
    - six==1.16.0=pyhd3eb1b0_0
    - sqlite==3.36.0=hc218d9a_0
    - tk==8.6.10=hbc83047_0
    - tqdm==4.61.2=pyhd3eb1b0_1
    - urllib3==1.26.6=pyhd3eb1b0_1
    - wheel==0.36.2=pyhd3eb1b0_0
    - xz==5.2.5=h7b6447c_0
    - yaml==0.2.5=h7b6447c_0
    - zlib==1.2.11=h7b6447c_3

The following NEW packages will be INSTALLED:

  _libgcc_mutex      pkgs/main/linux-64::_libgcc_mutex-0.1-main
  _openmp_mutex      pkgs/main/linux-64::_openmp_mutex-4.5-1_gnu
  brotlipy           pkgs/main/linux-64::brotlipy-0.7.0-py37h27cfd23_1003
  ca-certificates    pkgs/main/linux-64::ca-certificates-2021.7.5-h06a4308_1
  certifi            pkgs/main/linux-64::certifi-2021.5.30-py37h06a4308_0
  cffi               pkgs/main/linux-64::cffi-1.14.6-py37h400218f_0
  chardet            pkgs/main/linux-64::chardet-4.0.0-py37h06a4308_1003
  conda              pkgs/main/linux-64::conda-4.10.3-py37h06a4308_0
  conda-package-han~ pkgs/main/linux-64::conda-package-handling-1.7.3-py37h27cfd23_1
  cryptography       pkgs/main/linux-64::cryptography-3.4.7-py37hd23ed53_0
  idna               pkgs/main/noarch::idna-2.10-pyhd3eb1b0_0
  ld_impl_linux-64   pkgs/main/linux-64::ld_impl_linux-64-2.35.1-h7274673_9
  libffi             pkgs/main/linux-64::libffi-3.3-he6710b0_2
  libgcc-ng          pkgs/main/linux-64::libgcc-ng-9.3.0-h5101ec6_17
  libgomp            pkgs/main/linux-64::libgomp-9.3.0-h5101ec6_17
  libstdcxx-ng       pkgs/main/linux-64::libstdcxx-ng-9.3.0-hd4cf53a_17
  ncurses            pkgs/main/linux-64::ncurses-6.2-he6710b0_1
  openssl            pkgs/main/linux-64::openssl-1.1.1k-h27cfd23_0
  pip                pkgs/main/linux-64::pip-21.1.3-py37h06a4308_0
  pycosat            pkgs/main/linux-64::pycosat-0.6.3-py37h27cfd23_0
  pycparser          pkgs/main/noarch::pycparser-2.20-py_2
  pyopenssl          pkgs/main/noarch::pyopenssl-20.0.1-pyhd3eb1b0_1
  pysocks            pkgs/main/linux-64::pysocks-1.7.1-py37_1
  python             pkgs/main/linux-64::python-3.7.10-h12debd9_4
  readline           pkgs/main/linux-64::readline-8.1-h27cfd23_0
  requests           pkgs/main/noarch::requests-2.25.1-pyhd3eb1b0_0
  ruamel_yaml        pkgs/main/linux-64::ruamel_yaml-0.15.100-py37h27cfd23_0
  setuptools         pkgs/main/linux-64::setuptools-52.0.0-py37h06a4308_0
  six                pkgs/main/noarch::six-1.16.0-pyhd3eb1b0_0
  sqlite             pkgs/main/linux-64::sqlite-3.36.0-hc218d9a_0
  tk                 pkgs/main/linux-64::tk-8.6.10-hbc83047_0
  tqdm               pkgs/main/noarch::tqdm-4.61.2-pyhd3eb1b0_1
  urllib3            pkgs/main/noarch::urllib3-1.26.6-pyhd3eb1b0_1
  wheel              pkgs/main/noarch::wheel-0.36.2-pyhd3eb1b0_0
  xz                 pkgs/main/linux-64::xz-5.2.5-h7b6447c_0
  yaml               pkgs/main/linux-64::yaml-0.2.5-h7b6447c_0
  zlib               pkgs/main/linux-64::zlib-1.2.11-h7b6447c_3

Preparing transaction: done
Executing transaction: done
installation finished.

Conda starten

uid165116@od-12345:~$ source <(~/miniconda3/bin/conda shell.bash hook)

pymysql installieren (zum Beispiel)

(base) uid165116@od-12345:~$ python3 -V
Python 3.7.10

(base) uid165116@od-12345:~$ pip3 install pymysql --user
Collecting pymysql
  Downloading PyMySQL-1.0.2-py3-none-any.whl (43 kB)
     |████████████████████████████████| 43 kB 892 kB/s 
Installing collected packages: pymysql
Successfully installed pymysql-1.0.2