StartSSL Zertifikate erneuern

Neues Certificate Signing Request erstellen (mit vorhandenem privaten Schlüssel) openssl req -new -key ~/stephangsell.de.key -out ~/stephangsell.de.csr Dann bei StartSSL den Inhalt der CSR-Datei hochladen und auf unterzeichneten Schlüssel warten. Schlüsselinhalt in ~/stephangsell.de.crt speichern. Folgende 3 Befehle sind nur beim ersten Mal notwendig, um eine gültige StartSSL-Zertifikatskette zu erzeugen wget https://www.startssl.com/certs/ca.pem wget https://www.startssl.com/certs/sub.class1.server.ca.pem cat sub.class1.server.ca.pem ca.pem […]

owncloud + lighttpd: „413 – Request Entity Too Large“

Obiger Fehler führte dazu, dass in ownCloud keine größeren Dateien hochgeladen werden konnten. Das Problem war leicht zu beheben, da nur der entsprechende Ordner fehlte, in dem lighttpd seine hochzuladenden Dateien zwischenspeichert. Er wird so angelegt und anschließend schreibbar für den Benutzer www-data gemacht: mkdir -p /var/cache/lighttpd/uploads chown www-data:www-data /var/cache/lighttpd/uploads

lighttpd, ownCloud, FolderSync: 417 und Expectation Failed

Seit einiger Zeit hatte ich beim Synchronisieren zwischen ownCloud und Android-Telefon mit FolderSync das Problem, dass ich vom Telefon aus keine neuen Dateien in meine ownCloud hochladen konnte. Fehlermeldung in FolderSync: ‚Expectation Failed‘. Im lighttpd-access.log fand ich folgende Zeile: 89.XXX.XXX.XXX – – [17/Dec/2013:06:49:23 +0100] „PUT /remote.php/webdav/testdatei HTTP/1.1“ 417 363 „-“ „Apache-HttpClient/UNAVAILABLE (java 1.4)“ Lösen lässt […]

Debian 6 Squeeze: openssl 1.0.1e und lighttpd 1.4.33 selbst kompilieren (für TLS 1.2 mit PFS)

Nach den ganzen Geschichten um die NSA wollte ich dann meinen Webserver auch mal etwas besser absichern. Dazu habe ich für den bei mir eingesetzten lighttpd hier eine Anleitung gefunden. Problem ist allerdings, dass die meisten Chiffre mit der in Debian Squeeze eingesetzten openssl-Bibliothek in der Version 0.9.8o leider nicht funktionieren. Die Lösung: eine neue […]

Postfix: 535 Authentication credentials invalid

Ich verwende Postfix, um per Relay E-Mails über Web.de zu verschicken. Das klappte bisher auch problemlos, bis ich die Fehlermeldung bekam: postfix/smtp[11477]: SASL authentication failed; server smtp.web.de[213.165.67.124] said: 535 Authentication credentials invalid Nach einem Einloggen auf Web.de und dem Verschicken einer Mail an einen beliebigen Empfänger übers Webinterface, klappte auch, ohne Änderung an meiner Postfix-Konfiguration, […]

Postfix und TLS

Damit die TLS-Zertifikate der Gegenstellen akzeptiert werden, müssen die CA-Zertifikate bekannt sein. Dazu wird in der Datei /etc/postfix/main.cf folgende Zeile eingefügt smtp_tls_CApath = /etc/ssl/certs/ Damit die Zertifikate auch erkannt werden, müssen sie vorher gehasht werden: c_rehash $(postconf -h smtp_tls_CApath) Zum Schluss noch ein service postfix restart Da postfix unter Debian allerdings in einer chroot-Umgebung läuft, […]

SSL-Zertifikate von startssl

Certificate Signing Request (CSR) für startssl.com erstellen: openssl req -new -key stephangsell.de.key -out stephangsell.de.csr Für lighttpd muss eine PEM-Datei erstellt werden, die den privaten und öffentlichen Schlüssel in einer Datei enthält: cat /etc/ssl/private/stephangsell.de.key /etc/ssl/certs/stephangsell.de.crt > /etc/ssl/pem/stephangsell.de.pem Mehr Infos hier.

Mailman: neue Subdomain

Kürzlich musste ich die Subdomain für den administrativen Zugriff auf Mailman ändern. Dazu zuerst in der Datei /etc/mailman/mm_cfg.py folgende Zeile anpassen: DEFAULT_URL_HOST = ’sub1.example.org‘ Damit anschließend Links auf den Mailman-Seiten funktionieren, müssen diese an die neue Subdomain angepasst werden mittels withlist -l -r fix_url <listenname>

SSH-Zugang ohne Passwort per Public-Key-Authentifizierung

Hier habe ich einen netten Einzeiler dazu gefunden, der auch noch auf das mounten entfernter Verzeichnisse per sshfs eingeht. Zunächst mit ssh-keygen ein (passwortloses) RSA-Schlüsselpaar erstellen. Dann einmal mit cat ~/.ssh/id_rsa.pub | ssh user@server ‚cat >>~/.ssh/authorized_keys‘ auf dem Server einloggen. Update: Alternativ macht dieser Befehl das gleiche: ssh-copy-id -i ~/.ssh/id_rsa.pub user@server Beim nächsten Zugriff per […]

Postfix, Dovecot und virtuelle Domains (ohne SQL-Datenbank)

Meinen E-Mail-Server habe ich teilweise nach der ISP-Mail-Anleitung eingerichtet. Da mir aber die dort vorgeschlagene Einrichtung mittel mysql-Datenbank zu aufwendig erschien, habe ich es etwas abgewandelt. Zu einer bestehenden Domain sollte eine weitere hinzukommen, die jedoch E-Mails nur weiterleitet (es soll aber auch möglich sein, E-Mails mit dieser Domain zu verschicken). Dazu wird in die […]