Verwendung von SSL Gateway

Sichern Sie die Verbindungen zu Ihrer Website

Allgemeine Informationen

Voraussetzungen

  • Sie haben bereits ein SSL Gateway bestellt .
  • Sie haben Zugang zum Sunrise Kundencenter.

Verwendung

Hier erfahren Sie, wie Sie Ihr SSL Gateway verwenden.

Konfiguration Ihrer Dienstleistung

  • Loggen Sie sich in Ihr Kundencenter ein.
  • Klicken Sie dann auf den Bereich Sunrise.

Button Sunrise

  • Klicken Sie anschließend auf SSL Gateway, um Ihre Dienstleistung einzusehen.

Button SSL Gateway

  • Wählen Sie dann das Angebot, dass Sie konfigurieren möchten.

Angebotsseite

  • So gelangen Sie auf die Verwaltungsseite Ihres Angebots.

Übersicht Konfiguration

  • Beschreibung der Informationen

Informationen

--- ---
IPv4 IPv4-Adresse des OVH Gateways, auf die Sie verweisen müssen
IPv6 IPv6-Adresse des OVH Gateways, auf die Sie verweisen müssen
Zone Geografische Zone der IP-Adresse Ihres SSL Gateways
Ausgehende IPv4 IPv4-Adressen von OVH, die sich mit Ihrem Server verbinden
Angebot Art Ihres Angebots
Dokumentation Link zu dieser Anleitung
Status Status Ihrer SSL Gateway Dienstleistung
Ablaufdatum Ablaufdatum Ihrer SSL Gateway Dienstleistung
Kündigen Button, um Ihre SSL Gateway Dienstleistung zu kündigen
Zum Advanced Angebot migrieren Option, um von SSL Gateway Free auf SSL Gateway Advanced zu migrieren
  • Beschreibung der Konfiguration

Konfigurationsteil

--- ---
Konfiguration Button, um die Konfiguration Ihrer SSL Gateway Dienstleistung zu bearbeiten
HSTS [1] Zwingt den Browser dazu, die nächsten Verbindungen mit Ihrer Website über HTTPS durchzuführen
Reverse Erlaubt es, einen Hostnamen über Ihrer SSL Gateway IP anzuzeigen
HTTPS [2] Umleitung Leitet den Besucher Ihrer Website weiter auf die HTTPS Version, wenn er ursprünglich über HTTP darauf zugreift
HTTPS [3] Server Aktiviert HTTPS zwischen dem SSL Gateway Server und Ihrem Server
Einschränkungen der Quell-IPs Wenn dieses Feld ausgefüllt ist, können sich nur die eingetragenen IPs und Netzwerke mit dem SSL Gateway verbinden
Cipher-Konfiguration [4] Ermöglicht es Ihnen, verschiedene Sicherheitslevel für Ihr SSL/TLS-Zertifikat auszuwählen

[1] - (1) Weitere Informationen zu HSTS

[2] - (1) Wenn Sie die Funktionalität Ihrer Website mit HTTPS überprüft haben, können Sie den gesamten HTTP-Traffic auf HTTPS umleiten. Allerdings empfehlen wir Ihnen, 24 Stunden mit dieser Umleitung zu warten, nachdem Sie Ihre Domain auf das SSL Gateway verweisen lassen. So ist sichergestellt, dass die Besucher Ihrer Website bereits die aktuelle DNS-Konfiguration haben.

[3] - (1) Ermöglicht eine Ende-zu-Ende-Verschlüsselung der Verbindung. Der SSL Gateway Server verbindet sich hierbei über den Standard HTTPS Port 443. Achtung: Um diese Option zu aktivieren, müssen Sie über ein SSL/TLS-Zertifikat für Ihren Server verfügen. Ohne das Zertifikat wird Ihre Website nicht funktionieren. Das Zertifikat für Ihren Server muss allerdings nicht wieder erneuert werden.

[4] - (1) Das höchste Cipher-Level sorgt auch für den besten Schutz, funktioniert allerdings möglicherweise nicht mit älteren Browser-Versionen. Weitere Informationen zu Ciphers

Konfiguration Ihrer Domain

Der folgende Block enthält 4 Tabs:

  • Domains
  • Server
  • Tasks
  • Graphen

Domains Tab

In dem Tab „Domains“ können Sie Ihre Domains und Subdomains zu Ihrem SSL Gateway hinzufügen.

  • Klicken Sie auf + Domain, um eine Domain oder Subdomain hinzuzufügen.
Sie haben ein SSL Gateway „Free“

Sie besitzen die Rechte für eine Domain, deren Subdomain beginnend mit www, sowie eine weitere Subdomain Ihrer Wahl:

--- ---
Domain example.com
Subdomain www www.example.com
Subdomain Ihrer Wahl blog.example.com
  • SSL Gateway Free:

Sie können nur Domains bis zur dritten Ebene (www.example.org) verwenden.

    - Wählen Sie die Domain und klicken Sie zur Bestätigung auf `Hinzufügen`{.action}.

Free Domain hinzufügen

Sie haben ein SSL Gateway „Advanced“

Sie können jegliche Domains und Subdomains Ihrer Wahl verwenden.

  • Advanced Angebot

Sie können auch Fourth-Level-Domains (blog.germany.example.org) oder Domains einer tieferen Ebene verwenden.

    - Wählen Sie die Domain und klicken Sie zur Bestätigung auf `Hinzufügen`{.action}.

Advanced Domain hinzufügen

Wenn Sie eine Domain oder Subdomain hinzufügen, erhalten Sie automatisch eine E-Mail mit dem Hinweis, die jeweilige Domain innerhalb von 3 Tagen auf die IP des SSL Gateways verweisen zu lassen. Das ist notwendig, um die Erstellung des SSL/TLS-Zertifikats zu bestätigen.

In dem Tab „Server“ können Sie die IP-Adresse(n) des bzw. der Server verwalten, auf denen Ihre Website gehostet wird.

  • Klicken Sie auf + Server, um eine IP-Adresse und den entsprechenden Port zu dem Server hinzuzufügen, auf dem sich Ihre Website befindet.

Tab Server

Sie haben ein SSL Gateway „Free“

Sie können nur eine IP/PORT-Adresse verwenden.

Sie haben ein SSL Gateway „Advanced“

Sie können bis zu 3 IP/Port-Adressen für Ihre Domains bzw. Subdomains hinzufügen.

Wenn Sie mehrere IP/PORT-Adressen angeben, verteilt Ihr SSL Gateway den Traffic automatisch nach dem Round Robin System. Weitere Informationen zu Round Robin DNS

    - Wählen Sie die Domain und klicken Sie zur Bestätigung auf `Hinzufügen`{.action}.

Advanced IP/PORT hinzufügen (intern)

Es ist momentan noch nicht möglich, IPv6-Adressen auf Ihren Servern hinzuzufügen. Das ist allerdings kein Problem, da Ihre Domain bzw. Subdomain über IPv6 auf Ihr SSL Gateway verweisen kann. Ihr SSL Gateway konvertiert dann den IPv6-Traffic und leitet ihn völlig transparent zur IPv4-Adresse Ihres Servers.

In dem Tab „Tasks“ können Sie die laufenden Operationen auf Ihrem SSL Gateway einsehen.

Tab Tasks

Wenn wir nicht feststellen konnten, dass Ihre Domain bzw. Subdomain auf die SSL Gateway IP verweist, wurde auch das SSL/TSL-Zertifikat noch nicht erstellt. Ihre Website ist allerdings trotzdem über „HTTP“ verfügbar. In dem Fall wird eine Grafik mit „HTTP“ in der Spalte „Status“ angezeigt.

HTTP only

In dem Tab „Graphen“ werden die Verbindungen und Anfragen auf Ihr SSL Gateway pro Minute grafisch dargestellt.

Tab Graphen

Sie haben ein SSL Gateway „Free“

Sie können sich die Metriken für 24 Stunden anzeigen lassen.

-
Sie haben ein SSL Gateway „Advanced“

Sie können sich die Metriken für 1 Monat anzeigen lassen.

Verlangerung des SSL-Zertifikats

Wichtiger Hinweis

Um das Let‘s Encrypt-Zertifikat zu verlängern, muss die Domain bzw. Subdomain auf die IP des SSL Gateway Angebots zeigen. - Ist das nicht der Fall und wird es von unseren Bots 7 Tage vor Verlängerung des SSL/TLS-Zertifikats festgestellt, erhalten Sie eine Erinnerungs-E-Mail, nach der Sie 3 Tage Zeit haben, um das Problem zu beheben. - Ist das Problem nach 3 Tagen nicht behoben, wird das Zertifikat nicht automatisch verlängert und muss über folgenden Button manuell erstellt werden:

Regenerate SSL

Tipps

Die Quell-IP in den Logs korrigieren

Beschreibung

Wenn ein Kunde Ihre Website besucht, verbindet er sich über HTTPS mit dem SSL Gateway. Das SSL Gateway sendet die Anfrage weiter an Ihren Server, nachdem es diese zuvor entschlüsselt und Angriffe herausgefiltert hat. Alle Anfragen an Ihren Server kommen daher vom SSL Gateway.

Damit Sie dennoch die Adresse Ihres Besuchers nachverfolgen können, fügt das SSL Gateway automatisch die folgenden Standard HTTP-Header hinzu:

  • X-Forwarded-For und X-Remote-Ip: - Adresse des Kunden, wie diese vom SSL Gateway gelesen wird.
  • X-Forwarded-Port und X-Remote-Port: - Quell-Port des Kunden, wie dieser vom SSL Gateway gelesen wird.

Diese Felder können auch gefälscht werden. Daher kann den Angaben nur vertraut werden, wenn diese aus einer vertrauenswürdigen Quelle wie dem SSL Gateway stammen. Die Liste der vom SSL Gateway verwendeten Quell-IPs finden Sie wie folgt:

  • Gehen Sie in Ihrem Kundencenter in den Bereich „Sunrise“.
  • Gehen Sie dort zu Ihrem SSL Gateway.
  • Die IPs stehen in dem Bereich „Ausgehende IPv4“

Zum Zeitpunkt der Erstellung dieser Anleitung lauten diese Adressen 10.108.0.0/19, 10.108.32.0/19, 10.108.64.0/19, 10.108.192.0/19 und 10.108.128.0/19. Es können noch weitere Adressen hinzukommen.

Wenn Ihr Server die Option zulässt, können Sie einstellen, dass er diese Information automatisch anstelle der IP des SSL Gateways verwendet.

Apache

  • Erstellen Sie folgende Datei: /etc/apache2/conf-available/remoteip.conf
  • Fügen Sie folgende Zeilen ein:
# Trust X-Forwarded-For headers from the SSL Gateway
# See https://www.ovh.com/manager/sunrise/sslGateway/index.html#/sslGateway for an up to date list
RemoteIPHeader X-Forwarded-For
RemoteIPInternalProxy 213.32.4.0/24

Sie können jetzt die Variablen %h mit %a in den LogFormat Anweisungen der Apache-Konfiguration ersetzen.

  • Wenn die Konfiguration fertig ist, müssen Sie diese nur noch mit folgenden Befehlen aktivieren:
# Enable the module then the configuration
a2enmod remoteip
a2enconf remoteip

# Restart Apache to recognise the module (reload is sufficient for configuration)
service apache2 restart

Weitere Informationen zu diesem Thema finden Sie in der offiziellen Dokumentation von Apache.

Nginx

  • Öffnen Sie die Konfigurationsdatei der zu sichernden Seite. Sie finden diese in der Regel unter: /etc/nginx/sites-enabled
  • Fügen Sie im Abschnitt Server folgende Zeilen ein:
# Trust X-Forwarded-For headers from the SSL Gateway
# See https://www.ovh.com/manager/sunrise/sslGateway/index.html#/sslGateway for an up to date list
set_real_ip_from 213.32.4.0/24;
real_ip_header X-Forwarded-For;

Weitere Informationen zu diesem Thema finden Sie in der offiziellen Dokumentation von Nginx.


Haben Ihnen die Anleitungen geholfen?

Bevor Sie Ihre Meinung abgeben, nehmen wir gerne Ihre Vorschläge auf, wie wir diese Dokumente verbessern können.

Woran liegt es? An den Bildern, dem Inhalt oder Aufbau der Anleitungen? Schreiben Sie es uns gerne, dann machen wir es zusammen besser.

Ihre Support-Anfragen werden in diesem Formular nicht entgegengenommen. Verwenden Sie hierfür bitte das Formular "Ein Ticket erstellen" .

Vielen Dank. Ihr Feedback wurde gesendet.


Diese Anleitungen könnten Sie auch interessieren...

OVHcloud Community

Besuchen Sie Ihren Community-Bereich und tauschen Sie sich mit anderen Mitgliedern der OVHcloud Community aus. Hier können Sie Fragen stellen, zusätzliche Informationen finden und eigene Inhalte veröffentlichen.

Tauschen Sie sich mit der Community aus

Alle Preise verstehen sich inklusive der gesetzlichen Mehrwertsteuer.

In Übereinstimmung mit der Richtlinie 2006/112/EG in der geänderten Fassung können die Preise ab 01.01.2015 je nach Wohnsitzland des Kunden variieren
(die Preise in den Angeboten verstehen sich inklusive der gesetzlichen Mehrwertsteuer für die Bundesrepublik Deutschland).