Boehrsi.de - IT und Gaming Blog

Let’s Encrypt Zertifikate und Apache Reverse Proxy

Erstellt am event Uhr von account_circle Boehrsi in label Development
Let’s Encrypt Zertifikate und Apache Reverse Proxy Bild

Solltet ihr auf eurem Server Web-Services betreiben, die über einen Reverse Proxy von Apache angebunden sind und ihr wollt eure HTTPS-Only-Domains trotzdem automatisiert via Let’s Encrypt schützen lassen, dann könnte euch die folgende kleine mod_proxy Direktive vielleicht helfen.
Vorab kurz ein paar Worte zu meinem Setup. Ich habe einige Subdomains für selbst geschriebene Web-Services, die ich nur via HTTPS ansprechen möchte (automatische 3xx Weiterleitung für alle HTTP Requests). Für HTTPS Requests habe ich daher via mod_proxy die entsprechenden Weiterleitungen festgelegt, um die jeweiligen Web-Services via Apache Reverse Proxy verfügbar zu machen. Die SSL Zertifikate gibt es via Let’s Encrypt.
Nun kollidiert dieses Setup aber mit der automatischen Erneuerung von Let’s Encrypt Zertifikaten. Grund dafür ist der notwendige Zugriff des Let’s Encrypt Toolings auf den .well-known Ordner.

Die Lösung des Problems ist folgende Konfiguration:

<Location "/">
	ProxyPass "http://localhost:1337/"
	ProxyPassReverse "http://localhost:1337/"
</Location>

<Location "/.well-known">
	ProxyPass "!"
</Location>

Im ersten Location Bereich (<Location "/">) wird festgelegt wie der eigentliche Web-Service angebunden werden soll. Hier müsst ihr entsprechend eure spezifische Konfiguration eintragen.
Der zweite Location Bereich (<Location "/.well-known">) ist der relevante Part für Let’s Encrypt. Hier wird mittels ProxyPass "!" eine Ausnahme vom Reverse Proxy für Requests gegen den .well-known Ordner definiert. Auf diese Weise kommen alle relevanten Requests bei eurem Web-Service an und das Let’s Encrypt Tooling sollte ebenfalls in der Lage sein ordnungsgemäß zu funktionieren.
Bei mir ist das genannte Setup aktuell erfolgreich in Nutzung. Falls ihr weitergehende Informationen zur mod_proxy Konfiguration braucht, verlinke ich euch die dazugehörige Dokumentation in den Related Links.

Related Links
Kommentare  
Kommentar erstellen
Mit dem Abschicken des Kommentars erklären sie sich mit der in der Datenschutzerklärung dargelegten Datenerhebung für Kommentare einverstanden. Spam, unangebrachte Werbung und andere unerwünschte Inhalte werden entfernt. Das Abonnieren via E-Mail ist nur für E-Mail Adressen erlaubt die Sie rechtmäßig administrieren. Widerrechtliche Abonnements werden entfernt.