Plesk 12 & SSL Zertfikat ( StartSSL )

M

MartinB

Member
Hallo !

Ich habe mir bei StartSSL ein Class 2 Zertifikat für eine Domain erstellt.
Die nötigen Textblöcke habe ich dann entsprechend bei der Zertifikatseinrichtung eingestellt.

Dies klappt auch alles soweit ...

Rufe ich die Seite nun mittels https auf, erhalte ich unter Google Chrome auch das grüne Schloss.
Klicke ich darauf, werden ja weitere Details angezeigt.

In dem Reiter " Verbindung " , mittlerer Absatz steht dann :

Ihre Verbindung zu xxxx.xx ist mit einer veralteten Codier-Suite verschlüsselt.

Bei SLLlabs habe ich einen Servertest durchgeführt, werde dort mit " A " eingestuft.


Setzt hier jemand auch ein SSL Class 2 Zertifikat (StartSSL) unter Plesk ein,
bei dem dann anstelle " veraltet " " modern " angezeigt wird ?


Schon jetzt vielen Dank für Eure Hilfe !

Gruß, Martin
 
Ich habe keien Ahnung, was du als Chiffren konfiguriert hast.

Du kannst in der Konfigurationsdatei /etc/sw-cp-server/conf.d/ssl_plesk.inc die SSL-Parameter ändern.
Beispiel:
Code: 
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
 
Danke für die Rückmeldung !

Bei mir nennt sich die Datei " plesk.inc " kann ja an Ubuntu liegen ...

Hatte nach der Anpassung dann nginx , apache und Plesk neugestartet.

Bei allen nun erstellten Domains und Sub's erhalte ich nun den Hinweis auf eine "moderne" Codier Suite,
nur auf der Plesk Admin Seite nicht !!!
Bei ALLEN ist das gleiche Zertifikat hinterlegt ...

In diesem Zusammenhang :

Das Zertifikat ist hinterlegt bei (unter Plesk):

IP Adresse
Hosting Einstellungen ( bei jeder Sub-/Domain )
unter SSL Zertifikate, dort dann als Standard und für Plesk


Was könnte man da noch überprüfen ?

NACHTRAG :

Die von Plesk "erzeugten" webmail.domain.de Seiten melden ebenfalls " veraltete " Codier Suite ...


Gruß, Martin
 
Last edited by a moderator:
Die Datei sollte schon ssl_plesk.inc heißen, damit die auch nicht später überschrieben wird.

Hast du auch den sw_cp_server neu gestartet?
service sw-cp-server restart


hast du das Zertifikat auch bei Serververwaltung - Tools & einstellungen -> Sicherheit -> SSL-Zertifikate hochgeladen, dann dieses ausgewählt und "Plesk sichern" bestätigt?
 
Last edited by a moderator:
Ach du liebe Güte ... :D

Ich hatte das immer mit :

/etc/init.d/psa restart

ausgeführt ...

Aber mit Deiner Anweisung hat es nun geklappt !!! ( Yippeee ! ) :)

Erhalte aber da noch folgenden Hinweis :

nginx: [warn] duplicate value "TLSv1" in /etc/sw-cp-server/conf.d/pci-compliance.conf:1
nginx: [warn] duplicate value "TLSv1.1" in /etc/sw-cp-server/conf.d/pci-compliance.conf:1
nginx: [warn] duplicate value "TLSv1.2" in /etc/sw-cp-server/conf.d/pci-compliance.conf:1
Click to expand...

Folgendes befindet sich in der Datei :

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AE$
ssl_prefer_server_ciphers on;
ssl_dhparam /usr/local/psa/etc/dhkey.pem;
Click to expand...


Gruß, Martin
 
Ist doch nur ne Warnung wegen eines gedoppelten Eintrags aus mehreren Konfigurationen. Lass es doch so, das machts nichts.
 
Ja, OK ...

Noch eine Ergänzung zu den "webmail" Subseiten :

Diese Datei soll man ja nicht bearbeiten :

/etc/nginx/plesk.conf.d/webmail.conf

Dort müssten ebenfalls die "ciphers" angepasst werden ...
... wie stellt man das denn nun an :confused:


Gruß, Martin
 
Ähm, sorry, aber das ist mir jetzt etwas "zu hoch" ... :eek:

Welchen Inhalt muss diese Datei denn enthalten, wenn ich nur die
"ciphers" und "protocols" anpassen möchte ?

Aktuell lauten die Zeilen :

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
Click to expand...


In der neuen Datei sollte es dann so aussehen :

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
Click to expand...


So ganz komme ich mit den vielen Config-Dateien noch nicht klar ... :o


Wie "immer" vielen Dank für die Hilfe ... :D


Gruß, Martin
 
Kein Hilfreicher Post, aber die vielen Konfigs sind auch ziemlich lächerlich. Alles bis auf die vHost Keys/Certs sollte normal nur einmal zentral definiert werden.

Was Plesk da veranstaltet ist totaler Humbug. Diese Konfighölle ist eine der Gründe warum Plesk bei mir nie wieder landen wird.

Evtl. hilft dieser KB Eintrag ja etwas weiter http://kb.odin.com/de/120083 da man offensichtlich auch die Konfig-Templates anpassen muss. Keine Ahnung ob damit auch Webmail entsprechend neu generiert wird.
 
You must log in or register to reply here.
Back
Top