LiveConfig mit Let's Encrypt absichern

Kategorie: LiveConfig
Erstellt: 15.09.2020
Aktualisiert: 05.05.2021

Aktuell ist es nicht möglich, dass die LiveConfig-Weboberfläche (an Port 8443) automatisch mit einem SSL/TLS-Zertifikat von Let’s Encrypt abgesichert wird. Das liegt ausschließlich daran, dass die Domainvalidierung über Port 80 (also einen “normalen” Webserver) erfolgen muss.

Mittels einer Reverse-Proxy-Konfiguration können Sie dennoch LiveConfig mit Let’s Encrypt absichern. Gleichzeitig ist LiveConfig dann über den “Standard”-SSL-Port (443) erreichbar; das :8443 in der URL kann somit weggelassen werden. Voraussetzung ist allerdings, dass auf dem selben Server, auf dem LiveConfig läuft, auch ein Webserver (Apache oder NGINX) installiert ist und von LiveConfig verwaltet wird.

  1. Legen Sie einen Domainnamen fest, über den LiveConfig erreichbar sein soll (z.B. liveconfig.example.org).

  2. Legen Sie einen (kleinen) Webspace-Vertrag an und fügen diesem die Domain hinzu. Dieser Vertrag benötigt keine Datenbanken, PHP o.ä. - dieser wird lediglich für eine Reverse-Proxy-Konfiguration genutzt.

  3. Bearbeiten Sie die LiveConfig-Konfigurationsdatei (/etc/liveconfig/liveconfig.conf):

    1. aktivieren Sie den folgenden Eintrag, damit LiveConfig vorerst weiterhin an Port 8443 erreichbar bleibt:

      http_ssl_socket = *:8443
    2. fügen Sie folgenden Eintrag hinzu, damit LiveConfig zudem an Port 82 auf dem lokalen Server via HTTP (nicht HTTPS!) erreichbar ist:

      http_socket = 127.0.0.1:82

      Die eigentliche Portnummer ist egal, wichtig ist nur dass diese unter 1024 liegt, damit nur root hierfür Prozesse starten darf.

    3. fügen Sie außerdem noch folgende Anweisungen hinzu, damit LiveConfig Proxy-Zugriffe korrekt erkennt (siehe auch LiveConfig hinter einem Proxy betreiben):

      http_proxy_ip_from = 127.0.0.1
      http_proxy_url = https://liveconfig.example.org
      # wenn Sie Apache als Proxy-Webserver nutzen:
      http_proxy_ip_header = X-Forwarded-For
      # wenn Sie NGINX als Proxy-Webserver nutzen:
      http_proxy_ip_header = X-Real-IP
  4. starten Sie LiveConfig neu (systemctl restart liveconfig)

  5. konfigurieren Sie unter Hosting -> Domains die in Schritt 2 angelegte Domain als Reverse-Proxy auf die eben zusätzlich angelegte Localhost-Adresse von LiveConfig (Ziel-URL also: http://127.0.0.1:82/).

    Subdomain-Konfiguration

Anschließend sollten Sie über die angelegte Domain direkt auf LiveConfig zugreifen können. Somit können Sie auch ein SSL/TLS-Zertifikat mit Let’s Encrypt für diese Domain anlegen.