Apache einrichten

ownCloud ist eine PHP-Anwendung, die nur zusammen mit einem Webserver sinnvoll funktioniert. Nginx ist eine Möglichkeit, doch die größte Verbreitung genießt sicher die Kombination aus Apache und ownCloud. Ubuntu liegt Apache in einer aktuellen Version bei. Es genügt, das Paket "apache2" zu installieren. Allerdings ist Apache bei Ubuntu ab Werk nicht so eingerichtet, dass es SSL für sichere Verbindungen unterstützt. Das ist fatal: Der Transfer von Unternehmensdaten sollte unbedingt verschlüsselt erfolgen.

Die gute Nachricht ist, dass Apache sich problemlos um die SSL-Funktionalität erweitern lässt. Verwenden Sie hierfür das ausgestellte SSL-Zertifikat einer SSL-CA samt dem dazugehörenden privaten Schlüssel und installieren Sie diese Dateien nach "/etc/apache2/ssl". Das Verzeichnis legen Sie per »mkdir /etc/apache2/ssl« an, sollte es noch nicht existieren. Der Einfachheit halber gehen wir in diesem Beispiel davon aus, dass das Zertifikat "owncloud.crt" und der passende Schlüssel "owncloud.key" heißen. Mittels »sudo a2enmod ssl && sudo service apache2 restart« aktivieren Sie das SSL-Modul für Apache.

Bild 1: Damit der Webbrowser SSL unterstützt, sind einige Änderungen der Konfiguration vom Webserver Apache notwendig.

Die SSL-Standardseite konfigurieren

Danach steht die Datei "/etc/apache2/sites-available/default-ssl.conf" im Fokus des Interesses. In ihr finden sich zwei Zeilen, die mit "SSLCertificateFile" und "SSLCertificateKeyFile" beginnen. Hier ist "/etc/apache2/ssl/owncloud.crt" und "/etc/apache2/ssl/owncloud.key" für unser Beispiel richtig. Die Zeile, die mit "DocumentRoot" beginnt, braucht als Wert "/var/www" anstatt "/var/www/html". Damit der Webserver weiß, wie er heißt, muss das Schlüsselwort "ServerName" vorhanden sein und den richtigen Wert haben, etwa "owncloud.firma.de". Soll das Setup auch unter Alias-Domains zu erreichen sein (etwa "storage.firma.de"), gesellt sich ein "ServerAlias"-Eintrag hinzu. Die genutzte Domain muss zum genutzten SSL-Zertifikat passen, weil Nutzer beim SSL-basierten Zugriff sonst eine Zertifikatswarnung sehen. Kopieren Sie zudem den folgenden Absatz vollständig in die Datei:

<IfModule mod_headers.c>

Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"

</IfModule>

Außerdem muss der Wert bei "SSLEn-gine" auf "on" stehen. Für jedes der genannten Schlüsselwörter gilt: Ist die jeweilige Zeile mit einem "#" auskommentiert, müssen Sie das '#' entfernen. Anschließend schaltet »sudo a2ensite default-ssl.conf« die SSL-Standardseite an.

Mittels »sudo a2enmod headers« aktivieren Sie das Modul, das in Apache die Modifikation von HTTP-Headers erlaubt. Dann folgt ein weiterer Neustart von Apache mit »sudo service apache2 restart« . Das war's: Apache ist nun mit einem Zertifikat für SSL ausgestattet.

Wer den Prozess der Ausstellung eines SSL-Zertifikats übrigens noch nicht durchlaufen hat, findet unter [2] eine ausführliche Anleitung. Diese bezieht sich auf Let's Encrypt, also jenen Dienst, der gratis SSL-Zertifikate ausgibt.