Umstellung von ONLYOFFICE Workspace auf das HTTPS-Protokoll

Einleitung

In den meisten Fällen ist der Zugriff auf das Portal über das HTTPS-Protokoll deutlich sicherer als über das standardmäßig verwendete HTTP. Um die Portalzugriffsmethode zu ändern, sind jedoch bestimmte Aktionen erforderlich. Befolgen Sie die folgenden Schritte, um zu erfahren, wie Sie Ihren ONLYOFFICE Workspace auf das HTTPS-Protokoll umstellen.

Erstellen eines Sicherheitszertifikats und eines privaten Schlüssels

Bevor Sie Ihren ONLYOFFICE Workspace auf das HTTPS-Protokoll umstellen können, müssen Sie ein Sicherheitszertifikat und den privaten Zertifikatsschlüssel erstellen.

Um automatisch ein SSL-Zertifikat mit dem Letsencrypt-Dienst zu generieren, lesen Sie diesen Artikel.

Sobald Sie das Zertifikat haben, fahren Sie mit den folgenden Schritten fort.

Umstellung von ONLYOFFICE Workspace auf HTTPS mithilfe des bereitgestellten Skripts

Die schnellere Möglichkeit, ONLYOFFICE Workspace auf HTTPS umzustellen, ist die Verwendung des bereitgestellten Skripts. Es befindet sich hier:

/var/www/onlyoffice/Tools/default-onlyoffice-ssl.sh

Legen Sie die erstellten Zertifikate in /var/www/onlyoffice/Data/certs/ ab. Dort müssen zwei Dateien vorhanden sein:

• /var/www/onlyoffice/Data/certs/onlyoffice.crt
• /var/www/onlyoffice/Data/certs/onlyoffice.key

Führen Sie das Skript aus:

sudo bash /var/www/onlyoffice/Tools/default-onlyoffice-ssl.sh

Es wird alles Notwendige tun, um Ihre ONLYOFFICE Workspace-Installation auf HTTPS umzustellen.

ONLYOFFICE Workspace manuell auf HTTPS umstellen

Sie können alle Skriptaktionen manuell ausführen. Gehen Sie dazu wie folgt vor:

1. Beenden Sie den NGINX-Dienst:

   sudo service nginx stop

2. Kopieren Sie die Datei /etc/nginx/includes/onlyoffice-communityserver-common-ssl.conf.template in die Datei /etc/nginx/sites-available/onlyoffice für Debian-basierte Systeme oder in die Datei /etc/nginx/conf.d/onlyoffice.conf für RPM-basierte Systeme.

   Verwenden Sie den folgenden Befehl für Debian-basierte Systeme:

   sudo cp -f /etc/nginx/includes/onlyoffice-communityserver-common-ssl.conf.template /etc/nginx/sites-available/onlyoffice

   Verwenden Sie den folgenden Befehl für RPM-basierte Systeme:

   sudo cp -f /etc/nginx/includes/onlyoffice-communityserver-common-ssl.conf.template /etc/nginx/conf.d/onlyoffice.conf

3. Bearbeiten Sie die Datei /etc/nginx/sites-available/onlyoffice für Debian-basierte Systeme oder die Datei /etc/nginx/conf.d/onlyoffice.conf für RPM-basierte Systeme. Ändern Sie alle Parameter in doppelten geschweiften Klammern {{...}} für die tatsächlich verwendeten:
   • {{SSL_CERTIFICATE_PATH}} – der Pfad zu Ihrem SSL-Zertifikat;
   • {{SSL_KEY_PATH}} – der Pfad zum privaten Schlüssel des SSL-Zertifikats;
   • {{SSL_VERIFY_CLIENT}} – ob die Überprüfung von Client-Zertifikaten aktiviert ist (verfügbare Werte: on, off, optional und optional_no_ca);
   • {{CA_CERTIFICATES_PATH}} – der Pfad zum Client-Zertifikat, das überprüft wird, wenn es mit dem vorherigen Parameter aktiviert wurde;
   • {{ONLYOFFICE_HTTPS_HSTS_MAXAGE}} – erweiterte Konfigurationsoption zum Festlegen des HSTS-Maximalalters in der ONLYOFFICE Workspace NGINX vHost Konfiguration und nur anwendbar, wenn SSL verwendet wird (normalerweise ist der Standardwert 31536000, was als ausreichend sicher gilt);
   • {{SSL_DHPARAM_PATH}} – der Pfad zum Diffie-Hellman-Parameter;
   • {{ONLYOFFICE_NGINX_KEEPLIVE}} – die maximale Anzahl inaktiver Keep-Alive-Verbindungen zu Upstream-Servern, die im Cache jedes Arbeitsprozesses erhalten bleiben (weitere Informationen zu diesem Parameter finden Sie in der NGINX-Dokumentation);
   • {{DOCKER_ONLYOFFICE_SUBNET}} – der interne Subnetzwert von Docker (falls ONLYOFFICE Workspace mit Docker);
   • {{SSL_OCSP_CERTIFICATE_PATH}} – der Pfad zu einer Datei mit vertrauenswürdigen CA-Zertifikaten im PEM-Format, die zur Überprüfung von Client-Zertifikaten und OCSP-Antworten (Online Certificate Status Protocol) verwendet wird, wenn ssl_stapling aktiviert ist.
   Weitere Informationen zu den in der Konfigurationsdatei verwendeten SSL-Parametern finden Sie in der NGINX-Dokumentation.
4. Öffnen Sie die Konfigurationsdatei /var/www/onlyoffice/Services/MailAggregator/ASC.Mail.Aggregator.CollectionService.exe.config und setzen Sie den Parameterwert mail.default-api-scheme auf https. Starten Sie anschließend den Mail-Aggregator-Dienst neu:

   onlyofficeMailAggregator restart

5. Stellen Sie Chat auf das TLS-Protokoll um. Lesen Sie diesen Artikel, um zu erfahren, wie das geht.
6. Wenn alle Änderungen vorgenommen wurden, können Sie den NGINX-Dienst erneut starten:

   sudo service nginx start

   Für den korrekten Portalbetrieb muss Port 443 geöffnet sein.