UTM 9 – WebServer Protection & Let’s Encrypt Support

Vorwort:

In diesem Artikel geht es um die Erstellung und die automatische Verlängerung von Let’s Encrypt Zertifikaten mit der UTM 9 Version 6. Let’s Encrypt bietet kostenlose SSL Zertifikate für WebServer. Zusätzlich soll der Blog durch die WebServer Protection geschützt werden. Um Zertifikate für eure WebServer zu generieren benötigt ihr eine Sophos UTM 9. Beim ausstellen von Zertifikaten wird eine Überprüfung des WebServers über die UTM durchgeführt. Somit müssen die DNS Einstellungen auf die UTM zeigen.

Verwendete Software & Dienste:

Wieso DynDNS?

Ich benutze hierfür DynDNS, da sich der Blog nicht auf einer virtuellen Maschine im Internet befindet sondern eine vorgefertigte Anwendung auf meiner Synology DS918+ ist. Mein Internetanschluss zu Hause hat keine statische IPv4 Adresse.

Konfiguration von DynDNS:

Meine Domain wird bei NameCheap verwaltet. Um die benötigten Einträge setzen zu können, muss ich ein DynDNS zu meiner UTM einrichten. Hierzu rufen wir die Netzwerkdienste auf und wählen „DNS“ und anschließend den Reiter „DynDns“.

Nun konfigurieren wir einen neuen DynDNS Eintrag für blog.stroskler.xyz

Die Passwörter und Konfiguration für DynDNS und Namecheap findet ihr hier. Wenn die Konfiguration erfolgreich war, sieht der Eintrag folgendermaßen aus:

Erstellung der Let’s Encrypt Zertifikate:

Um nun Let’s Encrypt Zertifikate generieren zu können muss diese Funktion zuerst in der UTM aktiviert werden. Gefunden werden kann dieser Punkt unter dem Menü „Webserver Protection“. Dort gibt es einen Unterpunkt namens „Zertifikatsverwaltung“ und anschließend einen Reiter „Erweitert“.

Anschließend können wir das neue Zertifikat generieren. Hierzu wechseln wir auf den Reiter Zertifikate und wählen „Neues Zertifikat“. Im Menü wählen wir nun Let’s Encrypt und tragen alle Daten sowie die Domain für die das Zertifikat sein soll und unsere externe Schnittstelle ein.

Nach dem speichern taucht das Zertifikat in unserer Liste auf und wartet darauf von Let’s Encrypt validiert zu werden.

Kurze Zeit später ist das Zertifikat ausgestellt.

Erstellen des WebServers auf der UTM

Abschließend muss nur noch der Webserver auf der UTM erstellt werden und das Zertifikat eingetragen werden. Hierfür muss zuerst ein „Echter Webserver “ unter der WebServer Protection der UTM angelegt werden. Zu finden ist dieser Punkt unter der Webserver Protection > Web Application-Firewall im Reiter „Echte Webserver“.

Nachdem der echte Webserver konfiguriert worden ist, muss nur noch der virtuelle Webserver erstellt werden. Hierzu wechseln wir auf den Reiter „Virtueller Webserver“ und wählen in der Konfiguration folgende Punkte aus:

  • Name
  • Schnittstelle
  • Verschlüsselung
  • Zertifikat
  • Echter Webserver
  • Firewall Profil
  • HTML umschreiben
  • Cookies umschreiben
  • Host-Header durchreichen

Endergebnis

Der Blog ist nun Live!

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.