Strato V-Server Windows / Fragen zu SSL Zertifikaten

Mr.Fisch

New Member
Hallo, ich bin im Moment etwas am Verzeifeln und hoffe auf ein paar Tipps. Bis vor kurzem hatte ich einen Homeserver mit dyndns betrieben. Vor zwei Wochen dann ein Hardwaredefekt mit der Erkenntnis, es wird Zeit mal einen Clouddienst zu nutzen. Also habe ich einen virtuellen Windows Server 2019 bei Strato gebucht. Die Basics funktionierten dann auch einfach und schnell - XAMPP mit phpBB Forum installiert - easy - klappt: https://strategieweb.de/phpbb/index.php

Doch jetzt bin ich an einem Punkt wo ich Starthilfe brauche: Wie zum Teufel funktioniert das mit diesen SSL Zertifikaten?
Es gibt sehr viel Informationen zu SSL-Zertifikaten, die mich allerdings noch mehr verwirrt haben. Speziell zu V-Windowsservern bei Strato habe ich praktisch keine Informationen gefunden.

Mein Ziel:

Das o.a. phpBB-Forum und ggf. weitere ältere WoltLab Foren sollten sicher bei https:// aufrufbar sein. Ein SSL-Zertifikat muss her. Ein "Basic-Zertifikat" ist im Strato-vertrag enthalten.

Wo stehe ich?

1. Domäne konfigurieren: Als erstes habe habe ich der mitgelieferten Domäne (strategieweb.de) im A-Record die feste IP-Adresse des V-Servers verpasst.
Das funktioniert auf den ersten Blick, aber ich bin nicht sicher ob das überhaupt richtig ist. An den DNS-Einträgen rumzufummeln erscheint mir irgendwie falsch. Erwartet habe ich, dass die mitgelieferte Domäne automatisch an den V-Server gebunden ist oder das man die Domäne zumindest auf ein beliebiges Ziel weiterleiten kann. Eine normale Weiterleitung (...wie bei anderen Strato Domänen) geht aber bei Domänen im V-Server Vertrag nicht.

2. SSL-Zertifikat dem V-Server/Domäne zuweisen:
1619954589149.png


An diesem Punkt stehe ich!
Sieht im ersten Moment easy aus... man muss halt auf dem V-Server einen Request (CSR) starten und dann als Textdatei in das Feld kopieren.
Es gibt sogar eine Hilfe dazu: https://www.strato.de/faq/server/so-verwalten-sie-ein-ssl-zertifikat-fuer-ihre-website/
Jetzt beginnt leider meine Verwirrung... beschrieben wird dort wie ich einen Request für z.B. Apache oder den IIS machen kann.
(nicht lachen) erwartet habe ich eine Anleitung: CSR-Erstellung für Windows Server 2019.
Weiter traue ich mich nicht, möchte ja mein Freizertifikat nicht mit einem falschen CSR verballern.

Kann jemand helfen? Was muss ich machen? Wo kann ich ggf. Informationen erhalten?

Gruss Marcel (alias Mr.Fisch)
 

d4f

Kaffee? Wo?
Die Basics funktionierten dann auch einfach und schnell - XAMPP mit phpBB Forum installiert
Davon agesehen einen klassischen LAMP-Stack (Linux,Apache,Mysql,PHP) unter Windows zu betrieben ist XAMPP spezifisch nicht für Produktiveinsatz geeignet; Zitat des Herstellers "XAMPP is not meant for production use but only for development environments."
Was spricht hier gegen einen (guten) Webspace und den VPS dann für alles was nicht darauf laufen kann? Damit sparst du dir Unmengen Arbeit.
Alternativ wäre meine Empfehlung IIS unter Windows oder halt klassisch eine Linux-Büchse, will aber beides auch gekönnt sein.

Ein SSL-Zertifikat muss her. Ein "Basic-Zertifikat" ist im Strato-vertrag enthalten.
Klassisch würde ich sagen, nutze Letsencrypt. Wegen der unüblichen Kombination ist aber der offizielle Certbot nicht für HTTPd unter Windows ausgelegt.

Als erstes habe habe ich der mitgelieferten Domäne (strategieweb.de) im A-Record die feste IP-Adresse des V-Servers verpasst.
Das funktioniert auf den ersten Blick, aber ich bin nicht sicher ob das überhaupt richtig ist. An den DNS-Einträgen rumzufummeln erscheint mir irgendwie falsch.
Ja, der DNS-A gehört auf die IP des Servers zeigend. Aber das sollte er ja schon sein wenn deine Webseite im HTTP erreichbar ist?

erwartet habe ich eine Anleitung: CSR-Erstellung für Windows Server 2019.
Es ist eigentlich bei Apache egal welche Applikation das CSR erzeugt, das ist aber nicht überall so. In vielen Fällen spuckt die Applikation das CSR aus und man füttert den signierten Publickey dann zurück. Apache ist die ganze Zertifzierungsprozedur aber schlicht schnuppe, du musst ihm ein fertiges Zertifikat füttern. Will heissen; hier musst du es manuell machen. Beachte dass die meisten Windows-Dokumentationen davon ausgehen dass du IIS und nicht Apache HTTPd verwendest.

Hand aufs Herz; deine Servererfahrungen scheinen begrenzt. Ich würde nicht anraten unter diesen Umständen einen eigenen öffentlichen HTTP-Server ze betreiben, zumal deine Softwarewahl von eher... mittelmässiger... Recherche zeugt und eher nach "einfach statt sicher" schreit. Das ist kein pauschaler Vorwurf, jeder muss irgendwo anfangen - aber ich würde eher Erfahrungen "vor-sammeln" oder möglichst viel auf einen Webspace outsourcen. Mailserver, Webserver, ihre Stabilität und Sicherheit sind alles andere als trivial und haben erfahrene Sysadmins schon öfter zum Verzweifeln gebracht.
 

Mr.Fisch

New Member
Vielen Dank für die schnelle Antwort und die Tipps. Du hast natürlich Recht - mein Wissen ist total veraltet. Beruflich beschäftige ich mich seit Jahren mit anderen Dingen (leider).

Davon agesehen einen klassischen LAMP-Stack (Linux,Apache,Mysql,PHP) unter Windows zu betrieben ist XAMPP spezifisch nicht für Produktiveinsatz geeignet; Zitat des Herstellers "XAMPP is not meant for production use but only for development environments."

Ja, der LAMP-Stack war mein Startsystem vor ca. 20 Jahren. Vor ca. 10 Jahren bin ich dann auf XAMPP und Windows gewechselt, weil es Zeit gespart hat. Das ist für meinen Zweck völlig ausreichend.

Was spricht hier gegen einen (guten) Webspace und den VPS dann für alles was nicht darauf laufen kann? Damit sparst du dir Unmengen Arbeit.

Alternativ wäre meine Empfehlung IIS unter Windows oder halt klassisch eine Linux-Büchse, will aber beides auch gekönnt sein.

Muss etwas ausholen... es geht nicht primär um das Forum, sondern um ein Offlinegame (Creature Ball), welches ich 1995 programmiert habe und die Anfänge in der FIDO-Ära hatte. Ich habe das alles vor Jahren automatisiert und auf einem Windows-PC für eine kleine Fan-Gemeinde am Leben erhalten. Bis vor zwei Wochen lief das auf einem Windows 7 Laptop mit der XAMP-Konfiguration und vielen kleinen Scripten (WinBatch u.a.) für den Spielbetrieb und dynamischer Webseiten-Erstellung. Anbindung per Dyndns. Alle paar Jahre mal die neusten Versionen über XAMPP wg. Sicherheitsupdates. Das war es an Arbeit. Alles wunderbar.

Vor zwei Wochen hat dann mein Laptop die Grätsche gemacht. Statt einen neuen zu kaufen, dachte ich, es ist bestimmt besser gleich in die Cloud zu gehen. Also einen günstigen Windowsserver gemietet (erst einmal für 1 Monat - mal sehen wie weit ich komme). Seit Chrome sich mit normalen http-Seiten anstellt, hatte ich sowieso vor auf https zu wechseln. Hätte nicht gedacht das Zertifikate so komplex sind.

Es ist eigentlich bei Apache egal welche Applikation das CSR erzeugt, das ist aber nicht überall so. In vielen Fällen spuckt die Applikation das CSR aus und man füttert den signierten Publickey dann zurück. Apache ist die ganze Zertifzierungsprozedur aber schlicht schnuppe, du musst ihm ein fertiges Zertifikat füttern. Will heissen; hier musst du es manuell machen. Beachte dass die meisten Windows-Dokumentationen davon ausgehen dass du IIS und nicht Apache HTTPd verwendest.

Ein guter Link. Vielen Dank. Werde "CSR Generation in MMC" versuchen. Wenn ich die Anleitung richtig verstanden habe, kommt dann eine .csr Datei dabei raus, die ich bei Strato angeben kann. Der nächste Schritt wäre dann wohl Apache über das Zertifikat zu unterrichten. Step by Step.

Hand aufs Herz; deine Servererfahrungen scheinen begrenzt. Ich würde nicht anraten unter diesen Umständen einen eigenen öffentlichen HTTP-Server ze betreiben, zumal deine Softwarewahl von eher... mittelmässiger... Recherche zeugt und eher nach "einfach statt sicher" schreit. Das ist kein pauschaler Vorwurf, jeder muss irgendwo anfangen - aber ich würde eher Erfahrungen "vor-sammeln" oder möglichst viel auf einen Webspace outsourcen. Mailserver, Webserver, ihre Stabilität und Sicherheit sind alles andere als trivial und haben erfahrene Sysadmins schon öfter zum Verzweifeln gebracht.

Ja, das stimmt wohl :) Meine Recherche war aber vor 20 Jahren OK, denke ich. "Einfach statt sicher" ... naja, zumindest denke ich an eine Datensicherung... aber es stimmt schon, ich suche einen möglichst einfachen Weg zum Windowsserver, der dann hoffentlich sicher genug ist. Wenn es keine Schritt-für-Schritt Anleitungen gibt, muss ich halt tiefer einsteigen. Nützt ja nichts.

Hoffe noch ein wenig auf Gleichgesinnte die auch einen V-Server Windows bei Strato betreiben. Dieses Forum war der erste Treffer bei "Forum Strato V-Server Windows".

Gruß Marcel
 

Mr.Fisch

New Member
Den Request (die .csr Datei) konnte ich mit der o.a. Anleitung jetzt erstellen und in Strato zuweisen.
Ergebnis sind drei .CRT Dateien zum Download:
1619995621697.png


Ich habe das gleich mal unter "Personal" und "Web Hosting" importiert. Keine Ahnung ob das richtig ist.
1619995740397.png


Als nächstes werde ich morgen den Import in XAMPP vornehmen.
Habe folgende Anleitung dazu gefunden:

Bin gespannt und werde berichten
 

ThomasChr

Member
Dumme Frage: Das Spiel benötigt Windows?
So ein Zertifikat und ein LAMP ist mit Linux deutlich einfacher als mit Windows (und aufgrund der geringeren Angriffsfläche weil ohne GUI sicherlich auch sicherer!).
 

d4f

Kaffee? Wo?
Alle paar Jahre mal die neusten Versionen über XAMPP wg. Sicherheitsupdates.
Im Internet ist eigentlich "alle paar Jahre" oder sogar "alle paar Monate" mit "niemals" gleich zu setzen. Kritische Sicherheitslücken tauchen im Tagestakt auf, nicht nur zu Weihnachten und Ostern :p

ich suche einen möglichst einfachen Weg zum Windowsserver, der dann hoffentlich sicher genug ist
Auf Basis der Wahl von Xampp, Windows7 und deinen aktuellen Bemühungen ist es eher "wann" als "ob" es zu einem ernsten Missbrauch kommt.
Das ist, leider, Realität. Da ich dich wohl kaum vom Vorhaben abhalten kann, würde ich bei HTTP(s) nur dringends empfehlen den Verkehr schlicht komplett durch Cloudflare zu leiten und alle anderen Zugriffe auf Firewall-Ebene zu blockieren. Mit deren mittlerweile kostenfreien Argo Tunnel bräuchtest du dazu nicht mal einen öffentlich erreichbaren Port.

nd aufgrund der geringeren Angriffsfläche weil ohne GUI sicherlich auch sicherer!
Ob eine Oberfläche sicherer oder gefährlicher ist... darüber lässt sich streiten. Der Zugriffsweg ist das Einfallstor. Zugegeben, SSH gilt als stabiler und sicherer als RDP :) ... aber die meisten Probleme lassen sich wegkonfigurieren.
 

Mr.Fisch

New Member
Dumme Frage: Das Spiel benötigt Windows?
Ja, ist inzwischen ein Klassiker aus den 90er - heißt Creature Ball (früher Fantasy Soccer Manager).
Die Mitspieler nutzen einen Windows-Client, der HOST sind alte DOS-Programme die Textdateien erzeugen.
Aus den Textdateien werden dann HTML Seiten gebaut. Der Datenaustausch geht per Mail oder integriertem FTP-Transfer.
Irgendwann, wenn ich beruflich nicht mehr so eingespannt bin, werde ich das Teil auf HTML5 portieren.

In der Zwischenzeit bleibe ich (vorerst) beim Plan einen Windows Server in der Cloud zu betreiben.

Thema Sicherheit: Ja, das Sicherheitsniveau muss zum Schutzbedarf passen. Ich versuche "Pareto"... mit 20% Aufwand 80% Schutz.
Die 20% sind die Basiscs... Datenbankpasswort setzen, ab und zu mal alle Dienste und Programme updaten.
Das hört sich für einen "echten" Admin wahrscheinlich total schräg an.

Aber... es ist schließlich nur ein Spiel und ein Forum, dass auch mal ein paar Tage offline sein kann (so wie jetzt). Nach jedem Ligaspieltag fertige ich eh eine Datensicherung an (also wöchtlich). In den letzten 20 Jahren hatte ich nur einen ernsten Hackerangriff der den gesamten Server PC gekapert hatte. Also alles platt gemacht und überall die neuste Version eingespielt. Hat geholfen. Falls es nerviger wird, muss ich natürlich die Maßnahmen (also den Aufwand) erhöhen. Sicherheit ist sehr sehr wichtig, aber IMHO kein Selbstzweck.

Ich hoffe das ich nach diesem Statement hier nicht rausgeschmissen werde :)
 

ThomasChr

Member
Ich denke die größte Gefahr ist dass du irgendwo eine Sicherheitslücke hast (vielleicht sogar im Spiel selber) und irgendwelche Botnetze diese Sicherheitslücke in ihre Standard Tests aufnehmen. Wenns mal soweit ist wird der Server halt alle paar Stunden übernommen.
Und die Gefahr beim übernehmen geht von Spam versenden (mit Pech Sperren ganzer IP Ranges so dass dann dein Server und die Server neben dran keine Mails mehr verschicken können) bis hin zu hoch illegalen Aktivitäten auf deinem Server (sprich Waffe-, Drogen-, oder Kinderpornohandel).

Klar ist das recht schwarz gemalt aber die Probleme die du bekommen kannst sind sicherlich nicht schön. Und dann solltest du nicht sagen 20% Absicherung haben mir gereicht, sonst will man dich am Ende noch haftbar machen. (vorallem wenn du Software nutzt auf der drauf steht: "nicht für den produktiven Einsatz!")

Klar wirds wahrscheinlich nie soweit kommen und solange du damit gut schlafen kannst sei es dir gegönnt, ich könnte es nicht.

Thomas
 

marce

Well-Known Member
Zumal ein "Server in der Cloud" natürlich auch wesentlich attraktiver als Angriffsziel ist als ein schnöder PC hinter irgendeinem DSL-Account.
 

danton

Debian User
Wenn ich das jetzt richtig verstanden habe, greifen die Spiel-Clients gar nicht auf den XAMPP zu (Austausch per Mail oder FTP). Damit könnte man ja den XAMPP einsparen und die Webseite auf einem normalen Webspace hosten - was die Angriffsfläche ja schon mal um einiges verkleinert.
 
Top