Welche Ports müssen freigegeben werden damit der profacto-Webserver mit SSL/TLS Verschlüsselung arbeitet?

Sie müssen den Port 80 (http) auf den internen Port 8080 weiterleiten sowie den Port 443 (https) freigeben.

  • Über Port 80 (http) erfolgt die Authentifizierung zum Anfordern eines Zertifikats
  • Über Port 443 (https) werden dann die verschlüsselten Webanfragen ausgeliefert

Was ist wenn der profacto-Webserver auch über Port 8080 über das Internet erreichbar sein soll?

Dieser Umstand ist aktuell mit SSL/TLS Verschlüsselung und den automatisch erstellten Zertifikaten nicht möglich. Die Zertifikate vom Dienst letsencrypt.org erlauben keine Portangaben für die Anforderung eines Zertifikats.

Sie können weiterhin nur mit http und Port 8080 den Profacto-Webserver aufrufen, mit https geht das allerdings nicht.

Anmerkung:

Einige Router (e.g. Fritzbox) erlauben es nicht Anwendungen für mehr als einen externen Port bzw. Portbereich ansteuern zu lassen. In diesem Fall müssen Sie sich entscheiden ob Sie keine Portweiterleitung von 80 auf 8080 einrichten und somit auf automatisch erstellte Zertifikate oder auf die Erreichbarkeit über eine öffentliche Adresse in Verbindung mit der Portangabe 8080 verzichten.

Was wenn wir auf unserer Domain schon einen Webserver bedienen?

Sollte über Ihre Domain schon ein Webserver angesteuert werden kollidiert das mit der Authentifizierung von letsencrypt für den Profacto Webserver. Für das Anfordern eines Zertifikats brauchen sie eine Domain die auf Port 8080 weitergeleitet wird. Port-Weiterleitungen lösen das Problem wenn Sie über HTTP (bzw. Port 80) ansonsten keinen Bedarf haben erreichbar zu sein, abgesehen von dem Webserver von Profacto.

Ist das nicht der Fall und Sie haben einen anderen Webserver in Betrieb der über die gleiche Domain angesprochen werden soll, können Sie die Auflösung über eine Subdomain und einen SRV-Record lösen. Ihr IT-Dienstleister kann Sie in diesem Fall entsprechend beraten und anleiten die erforderlichen Schritte vorzunehmen um Zugang zu Subdomain und SRV-Record zu erhalten, bzw. die Konfiguration vorzunehmen.

Ein Beispiel

Sie haben die Domain extragroup.de, über diese Domain wird eine Website gehostet die über http://www.extragroup.de erreichbar ist. Sie möchten unter der gleichen Domain den Webserver von profacto ansteuern können. Hierfür richten Sie einen Subdomain ein (e.g. profacto.extragroup.de), dies Subdomain lassen Sie über einen SRV-Record auf Port 8080 auflösen.

Nach erfolgter Konfiguration ist Ihre Website nach wie vor unter http://www.extragroup.de erreichbar. Aufrufe auf http://profacto.extragroup.de werden an den Webserver von Profacto weitergeleitet und Sie müssen keinen zusätzlichen Port angeben wie http://www.extragroup.de:8080.

Beispiel für die Konfiguration mit einem Speedport Smart 3 der Telekom.

Beispiel für die Konfiguration mit einer Fritz!Box.