Een SSL certificaat is niet alleen handig om een website/email verkeer te beveiligen, maar DirectAdmin zelf kan er ook beveiligd mee worden. In deze tutorial wordt er vanuit gegaan dat je al een SSL certificaat hebt en de volgende bestanden bij de hand hebt:

  • certificate.crt (certificaat)
  • certificate.key (private key)
  • cabundle.crt (root certificaat)

Let op: Maak altijd een snapshot en/of backup van je systeem voordat je de software gaat upgraden! Zo kun je altijd terugvallen op een werkende configuratie mocht er iets fout gaan.

Tutorial voor het laatst bijgewerkt op 24 januari 2017


Stap 1  – Backup maken van DirectAdmin.conf bestand

Wat altijd verstandig is om te doen is om een backup van je configuratie bestand te maken voordat je het aanpast. Log in op je BladeVPS als root en voer de volgende commando’s uit:

cd /usr/local/directadmin/conf
 cp directadmin.conf directadmin.conf.bak

Je hebt nu een backup bestand waarop je kunt terugvallen als er iets fout gaat.


Stap 2 – Installeren van het certificaat

Nu gaan we de bestanden aanmaken waarin het certificaat, de private key en het rootcertificaat ingeplakt kunnen worden. Als eerste het certificaat:

Open het bestand certificate.crt en kopieer de inhoud. Voer daarna het volgende commando uit in SSH:

nano cacert.pem

Plak in dit bestand de inhoud van het bestand certificate.crt en sla het bestand op als cacert.pem.


Stap 3 – Installeren van de private key

Open het bestand certificate.key en kopieer de inhoud. Voer daarna het volgende commando uit in SSH:

nano cakey.pem

Plak in dit bestand de inhoud van het bestand certificate.key en sla het bestand op als cakey.pem.


Stap 4 – Installeren van het rootcertificaat

Open het bestand cabundle.crt en kopieer de inhoud. Voer daarna het volgende commando uit in SSH:

nano carootcert.pem

Plak in dit bestand de inhoud van het bestand cabundle.crt en sla het bestand op als carootcert.pem.


Stap 5 – DirectAdmin.conf aanpassen

Nu moeten deze bestanden nog gelinkt worden in directadmin.conf.

nano directadmin.conf

– Verander de waarde SSL=0 naar SSL=1

De kans is groot dat voor de bestanden cacert.pem en cakey.pem er al de volgende regels in directadmin.conf staan:

cacert=/usr/local/directadmin/conf/cacert.pem
cakey=/usr/local/directadmin/conf/cakey.pem

Als de bovenstaande regels nog niet in directadmin.conf staan voeg ze dan toe. De volgende stap is om het carootcert.pem toe te voegen:

carootcert=/usr/local/directadmin/conf/carootcert.pem

Deze regel kan op elke plek staan in het bestand maar het is aan te raden om dit bij elkaar te plaatsen zodat je er snel bij kan en alles bij elkaar staat.

Om ervoor te zorgen dat DirectAdmin nu altijd het domein gebruikt waaraan het SSL certificaat is gekoppeld, voeg de volgende settings toe in directadmin.conf:

ssl_redirect_host=www.jedomein.nl
force_hostname=www.jedomein.nl

Stap 6 – SSL cipher aanpassen

Standaard gebruikt DirectAdmin nog oude SSL ciphers. Zoek in directadmin.conf naar de setting:

ssl_cipher

en verander die waarde in:

ssl_cipher=ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS

Dit zorgt ervoor dat de onveilige versies en ciphers van SSL niet gebruikt worden. Met de standaard ciphers geeft bijvoorbeeld Google Chrome een waarschuwing voor verouderde ciphers.

Sla directadmin.conf nu op en voer het volgende commando uit:

service directadmin restart (CentOS 6)
systemctl restart directadmin.service (CentOS 7)

DirectAdmin krijgt nu een reboot en nu zou DirectAdmin alleen toegankelijk moeten zijn via SSL!


Heb je hier vragen over of hulp nodig? Neem dan contact op!