Diese Anleitung befasst sich mit der Unterstützung sicherer Hash-Funktionen (insbesondere SHA-256) durch die Infomaniak-Server sowie mit dem Schwerpunkt auf die Sicherheit der SSL/TLS-Zertifikate unter Verwendung von mit SHA-256 generierten CSR.

Hash-Algorithmus SHA-256

Die kryptografische Hash-Funktion SHA-1 ist kompatibel und die Infomaniak-Server unterstützen auch die SHA-256-Funktion, die insbesondere für Paypal und SaferPay (SIX) nützlich ist.

Die CSR (Certificate Signing Requests) sind in SHA-256 und nicht in SHA-1.

Diese Anleitung erklärt, wie…

1. … eine CSR und einen privaten Schlüssel erstellen, um ein Zertifikat von einer Zertifizierungsstelle (CA) zu beantragen,
2. … dieses Zertifikat für Ihre Infomaniak-Website importieren, mithilfe der CRT, die Sie von der CA erhalten haben.

Vorbemerkung

• Obwohl Infomaniak alle SSL-Zertifikate anbietet, die Sie benötigen könnten…
  • kostenlose Let's Encrypt Zertifikate für persönliche Websites (nur möglich mit bei Infomaniak gehosteten Websites),
  • DV Zertifikate von Sectigo für berufliche/private Websites, die nicht im Handelsregister eingetragen sind,
  • EV Zertifikate von Sectigo für Unternehmen, die im Handelsregister eingetragen sind,
• … es ist auch möglich, ein SSL-Zertifikat zu installieren, das woanders erhalten wurde (Zwischenzertifikat/intermediate von einer Zertifizierungsstelle Ihrer Wahl), benutzerdefinierte oder selbstsignierte Zertifikate.

1. Eine CSR (Certificate Signing Request) erstellen

Eine CSR (Certificate Signing Request oder Zertifikatsignieranfrage) ist eine codierte Datei, die die notwendigen Informationen zum Anfordern eines SSL/TLS-Zertifikats enthält.

Sie muss auf Ihrer Seite erstellt werden, um sicherzustellen, dass der private Schlüssel unter Ihrer Kontrolle bleibt, indem Sie beispielsweise OpenSSL verwenden.

Passen Sie den folgenden Befehl an und führen Sie ihn in einer Anwendung vom Typ Terminal (Kommandzeilenschnittstelle, CLI / Command Line Interface) auf Ihrem Gerät aus:

openssl req -utf8 -nodes -sha256 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.csr -addext "subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz"

Erläuterungen

• newkey rsa:2048: Erzeugt einen neuen RSA-Schlüssel mit 2048 Bit.
• keyout domain.xyz.key: Gibt die Datei an, in der der private Schlüssel gespeichert wird.
• out domain.xyz.csr: Gibt die Datei an, in der die CSR gespeichert wird.
• addext „subjectAltName = ...“: Fügt zusätzliche Domänen über die Erweiterung SAN (Subject Alternative Name) hinzu, die erforderlich ist, um alle gewünschten Domänen im Zertifikat zu enthalten (die Hauptdomäne domain.xyz + jede andere zugehörige Domäne oder Subdomäne, wie www.domain.xyz).

Nach der Erstellung können Sie den Inhalt der CSR mit dem folgenden Befehl überprüfen:

openssl req -in domain.xyz.csr -noout -text

Dadurch wird überprüft, dass alle in subjectAltName aufgeführten Domänen korrekt enthalten sind.

Sobald die CSR erstellt wurde, können Sie diese an die Zertifizierungsstelle (CA) senden, um Ihr SSL/TLS-Zertifikat zu erhalten.

2. Externes Zertifikat importieren

Nach der Validierung stellt die CA ein Zertifikat (domain.xyz.crt) und manchmal ein Zwischenzertifikat (ca_bundle.crt) aus. Um auf die Verwaltung der SSL-Zertifikate zuzugreifen:

1. Klicken Sie hier, um auf die Verwaltung Ihres Produkts im Infomaniak Manager zuzugreifen (Hilfe benötigen?).
2. Klicken Sie direkt auf den Namen, der dem betreffenden Produkt zugeordnet ist.
3. Klicken Sie auf SSL-Zertifikate im linken Seitenmenü.
4. Klicken Sie auf die blaue Schaltfläche Zertifikat installieren:
   
5. Wählen Sie das benutzerdefinierte Zertifikat aus.
6. Klicken Sie auf die Schaltfläche Weiter:
   
7. Importieren Sie Ihr Zertifikat und den privaten Schlüssel, entweder durch Importieren der Dateien .crt und .key oder durch Kopieren und Einfügen.
8. Klicken Sie auf Abschließen:
   

Alternative Befehl zum Generieren eines selbstsignierten Zertifikats (optional)

Wenn Sie ein lokales Zertifikat nur für Tests oder ohne eine CA (nicht für die Produktion empfohlen) benötigen, können Sie diesen Befehl verwenden:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout domain.xyz.key -out domain.xyz.crt -addext “subjectAltName = DNS:domain.xyz, DNS:www.domain.xyz”

Dies erzeugt sowohl ein selbstsigniertes Zertifikat (domain.xyz.crt) als auch einen privaten Schlüssel (domain.xyz.key). Selbstsignierte Zertifikate werden jedoch von Browsern oder öffentlichen Systemen nicht als gültig anerkannt. Sie eignen sich nur für interne oder Entwicklungsumgebungen.

Ein Zwischenzertifikat importieren

Beim Hinzufügen eines benutzerdefinierten SSL-Zertifikats ist es möglich, das Zwischenzertifikat zu importieren (durch Importieren der .crt Datei oder Einfügen der vom Zertifizierungsstellen bereitgestellten Daten):

Das Studentenprogramm von Infomaniak ermöglicht es, kostenlos 1 Webhosting und 1 kSuite Standard zu erhalten, um digitale Fähigkeiten während des Hochschulstudiums zu entwickeln. 

Vorwort

• Ein Domainname ist für die ordnungsgemäße Funktion der Produkte erforderlich und dieser bleibt kostenpflichtig.
• Das Angebot gilt nur in den folgenden Ländern: Schweiz, Frankreich, Belgien, Deutschland, Italien, Österreich, Spanien, Kanada.
• Angebot gilt nur für neue Hosting-Bestellungen (gilt nicht für bereits laufende oder erneuerte Bestellungen).
• 1 Webhosting (= Speicherplatz für 20 Websites auf 250 GB SSD) und 1 kSuite Standard pro Person.
• Der Student muss volljährig sein (oder eine elterliche Erlaubnis haben).
• Der Student muss seinen Status durch eine gültige Immatrikulationskarte und einen gültigen Personalausweis nachweisen:
  • Student card or school certificate: it must be up-to-date and show the school, the current school year, as well as your first and last name
  • Ausweis (Vorder- und Rückseite): Er muss gültig sein und ein klares, lesbares Foto enthalten.
  • Ihre offizielle Schüler-E-Mail-Adresse: Diese wird von Ihrer Schule bereitgestellt, z.B.: vorname.nachname@ihre-schule.com
• Die Dauer des Angebots hängt vom Gültigkeitszeitraum der Immatrikulationskarte ab und darf insgesamt 4 Jahre nicht überschreiten.

Kostenlose Online-Hosting erhalten

Um von diesem Angebot zu profitieren, informieren Sie sich auf der Angebotseite und bereiten Sie die erforderlichen Dokumente vor.

Entdecken Sie die anderen kostenlosen Infomaniak-Dienste!

Dieser Leitfaden hilft Ihnen beispielsweise, wenn Sie ein Paket wie pymysql bereitstellen möchten und dieses eine höhere Python-Version als die auf Ihrem Hosting angebotene erfordert.

Vorbemerkung

• Anaconda ist eine freie und Open-Source-Distribution der Programmiersprache Python. Diese Distribution zielt darauf ab, die Verwaltung von Paketen und den Einsatz zu vereinfachen.
• Es wird empfohlen, conda zu verwenden, das mit einer aktuellen Version von Python geliefert wird und sich im Benutzerbereich installiert, sodass es zu keinen Konflikten mit dem System-Python kommt (wie in einer virtuellen Umgebung, die immer eine Systeminstallation der gewünschten Version erfordert).
• Nehmen Sie die offizielle Dokumentation zur Kenntnis.
   

Installer herunterladen

uid165116@od-12345:~$ wget https://repo.anaconda.com/miniconda/Miniconda3-py37_4.10.3-Linux-x86_64.sh
--2021-07-28 18:21:10--  https://repo.anaconda.com/miniconda/Miniconda3-py37_4.10.3-Linux-x86_64.sh
Resolving repo.anaconda.com (repo.anaconda.com)... 2606:4700::6810:8303, 2606:4700::6810:8203, 104.16.131.3, ...
Connecting to repo.anaconda.com (repo.anaconda.com)|2606:4700::6810:8303|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 89026327 (85M) [application/x-sh]
Saving to: ‘Miniconda3-py37_4.10.3-Linux-x86_64.sh’

Miniconda3-py37_4.10.3-Linux-x86_64.sh          100% [==============================================>]  84.90M   203MB/s   in 0.4s   

18:21:11 (100 MB/s) - ‘Miniconda3-py37_4.10.3-Linux-x86_64.sh’ saved [89026327/89026327]

Die Prüfsumme überprüfen

uid165116@od-12345:~$ test $(md5sum Miniconda3-py37_4.10.3-Linux-x86_64.sh | awk '{print $1}') == "9f186c1d86c266acc47dbc1603f0e2ed" && echo "OK" 
OK

Installation starten

uid165116@od-12345:~$ bash Miniconda3-py37_4.10.3-Linux-x86_64.sh -b
PREFIX=/home/clients/fc84cbbf6dcbd6dd76b15d3e56c1789f/miniconda3
Unpacking payload ...
Collecting package metadata (current_repodata.json): done                                                                                           
Solving environment: done

## Package Plan ##

environment location: /home/clients/fc84cbbf6dcbd6dd76b15d3e56c1789f/miniconda3

added / updated specs:
    - _libgcc_mutex==0.1=main
    - _openmp_mutex==4.5=1_gnu
    - brotlipy==0.7.0=py37h27cfd23_1003
    - ca-certificates==2021.7.5=h06a4308_1
    - certifi==2021.5.30=py37h06a4308_0
    - cffi==1.14.6=py37h400218f_0
    - chardet==4.0.0=py37h06a4308_1003
    - conda-package-handling==1.7.3=py37h27cfd23_1
    - conda==4.10.3=py37h06a4308_0
    - cryptography==3.4.7=py37hd23ed53_0
    - idna==2.10=pyhd3eb1b0_0
    - ld_impl_linux-64==2.35.1=h7274673_9
    - libffi==3.3=he6710b0_2
    - libgcc-ng==9.3.0=h5101ec6_17
    - libgomp==9.3.0=h5101ec6_17
    - libstdcxx-ng==9.3.0=hd4cf53a_17
    - ncurses==6.2=he6710b0_1
    - openssl==1.1.1k=h27cfd23_0
    - pip==21.1.3=py37h06a4308_0
    - pycosat==0.6.3=py37h27cfd23_0
    - pycparser==2.20=py_2
    - pyopenssl==20.0.1=pyhd3eb1b0_1
    - pysocks==1.7.1=py37_1
    - python==3.7.10=h12debd9_4
    - readline==8.1=h27cfd23_0
    - requests==2.25.1=pyhd3eb1b0_0
    - ruamel_yaml==0.15.100=py37h27cfd23_0
    - setuptools==52.0.0=py37h06a4308_0
    - six==1.16.0=pyhd3eb1b0_0
    - sqlite==3.36.0=hc218d9a_0
    - tk==8.6.10=hbc83047_0
    - tqdm==4.61.2=pyhd3eb1b0_1
    - urllib3==1.26.6=pyhd3eb1b0_1
    - wheel==0.36.2=pyhd3eb1b0_0
    - xz==5.2.5=h7b6447c_0
    - yaml==0.2.5=h7b6447c_0
    - zlib==1.2.11=h7b6447c_3

The following NEW packages will be INSTALLED:

  _libgcc_mutex      pkgs/main/linux-64::_libgcc_mutex-0.1-main
  _openmp_mutex      pkgs/main/linux-64::_openmp_mutex-4.5-1_gnu
  brotlipy           pkgs/main/linux-64::brotlipy-0.7.0-py37h27cfd23_1003
  ca-certificates    pkgs/main/linux-64::ca-certificates-2021.7.5-h06a4308_1
  certifi            pkgs/main/linux-64::certifi-2021.5.30-py37h06a4308_0
  cffi               pkgs/main/linux-64::cffi-1.14.6-py37h400218f_0
  chardet            pkgs/main/linux-64::chardet-4.0.0-py37h06a4308_1003
  conda              pkgs/main/linux-64::conda-4.10.3-py37h06a4308_0
  conda-package-han~ pkgs/main/linux-64::conda-package-handling-1.7.3-py37h27cfd23_1
  cryptography       pkgs/main/linux-64::cryptography-3.4.7-py37hd23ed53_0
  idna               pkgs/main/noarch::idna-2.10-pyhd3eb1b0_0
  ld_impl_linux-64   pkgs/main/linux-64::ld_impl_linux-64-2.35.1-h7274673_9
  libffi             pkgs/main/linux-64::libffi-3.3-he6710b0_2
  libgcc-ng          pkgs/main/linux-64::libgcc-ng-9.3.0-h5101ec6_17
  libgomp            pkgs/main/linux-64::libgomp-9.3.0-h5101ec6_17
  libstdcxx-ng       pkgs/main/linux-64::libstdcxx-ng-9.3.0-hd4cf53a_17
  ncurses            pkgs/main/linux-64::ncurses-6.2-he6710b0_1
  openssl            pkgs/main/linux-64::openssl-1.1.1k-h27cfd23_0
  pip                pkgs/main/linux-64::pip-21.1.3-py37h06a4308_0
  pycosat            pkgs/main/linux-64::pycosat-0.6.3-py37h27cfd23_0
  pycparser          pkgs/main/noarch::pycparser-2.20-py_2
  pyopenssl          pkgs/main/noarch::pyopenssl-20.0.1-pyhd3eb1b0_1
  pysocks            pkgs/main/linux-64::pysocks-1.7.1-py37_1
  python             pkgs/main/linux-64::python-3.7.10-h12debd9_4
  readline           pkgs/main/linux-64::readline-8.1-h27cfd23_0
  requests           pkgs/main/noarch::requests-2.25.1-pyhd3eb1b0_0
  ruamel_yaml        pkgs/main/linux-64::ruamel_yaml-0.15.100-py37h27cfd23_0
  setuptools         pkgs/main/linux-64::setuptools-52.0.0-py37h06a4308_0
  six                pkgs/main/noarch::six-1.16.0-pyhd3eb1b0_0
  sqlite             pkgs/main/linux-64::sqlite-3.36.0-hc218d9a_0
  tk                 pkgs/main/linux-64::tk-8.6.10-hbc83047_0
  tqdm               pkgs/main/noarch::tqdm-4.61.2-pyhd3eb1b0_1
  urllib3            pkgs/main/noarch::urllib3-1.26.6-pyhd3eb1b0_1
  wheel              pkgs/main/noarch::wheel-0.36.2-pyhd3eb1b0_0
  xz                 pkgs/main/linux-64::xz-5.2.5-h7b6447c_0
  yaml               pkgs/main/linux-64::yaml-0.2.5-h7b6447c_0
  zlib               pkgs/main/linux-64::zlib-1.2.11-h7b6447c_3

Preparing transaction: done
Executing transaction: done
installation finished.

Conda starten

uid165116@od-12345:~$ source <(~/miniconda3/bin/conda shell.bash hook)

pymysql installieren (zum Beispiel)

(base) uid165116@od-12345:~$ python3 -V
Python 3.7.10

(base) uid165116@od-12345:~$ pip3 install pymysql --user
Collecting pymysql
  Downloading PyMySQL-1.0.2-py3-none-any.whl (43 kB)
     |████████████████████████████████| 43 kB 892 kB/s 
Installing collected packages: pymysql
Successfully installed pymysql-1.0.2