Sichern des Zugriffs auf Dolibarr mit HTTPS: Eine vollständige Anleitung

Inhaltsverzeichnis

1. Einführung

2. Warum HTTPS für Dolibarr wichtig ist

3. Grundlegendes zu SSL/TLS und HTTPS

4. Voraussetzungen für die HTTPS-Implementierung

5. Auswahl des richtigen SSL-Zertifikats

6. Installieren von SSL auf gängigen Webservern

   • Apache

   • Nginx

7. Konfigurieren virtueller Hosts für HTTPS

8. Erzwingen von HTTPS in der Dolibarr-Konfiguration

9. Aktualisieren der Dolibarr-Basis-URL auf HTTPS

10. Umleitung des gesamten Datenverkehrs auf HTTPS

11. Umgang mit Warnungen zu gemischten Inhalten

12. Überprüfen der SSL-Installation und Zertifikatsgültigkeit

13. HTTPS und Modulinteroperabilität

14. Verwenden von Let’s Encrypt für kostenloses SSL

15. Automatische Erneuerung und Cron-Jobs für SSL

16. Testen und Validieren des sicheren Zugriffs

17. Nach der HTTPS-Einrichtung hinzuzufügende Sicherheitsheader

18. HTTPS in Multicompany- und Subdomain-Konfigurationen

19. Leistungsüberlegungen bei HTTPS

20. Fazit

1. Einleitung

HTTPS ist nicht länger optional – es ist eine Notwendigkeit. Bei der Verwendung von Dolibarr ERP/CRM zur Verwaltung sensibler Geschäftsdaten ist eine sichere Kommunikation zwischen Benutzern und Server entscheidend. Diese Anleitung erklärt, wie Sie Dolibarr für die sichere und effektive Nutzung von HTTPS konfigurieren.

2. Warum HTTPS für Dolibarr wichtig ist

Die Verwendung von HTTPS schützt:

• Anmeldeinformationen des Benutzers

• Finanz- und Kundendaten

• Hochgeladene Dokumente und Formulareinreichungen

Ohne HTTPS können diese über Man-in-the-Middle-Angriffe (MITM) abgefangen werden.

HTTPS verbessert außerdem SEO und Benutzervertrauen und wird häufig für Funktionen wie OAuth-Authentifizierung oder sichere APIs benötigt.

3. Die Grundlagen von SSL/TLS und HTTPS verstehen

• SSL und TLS sind kryptografische Protokolle, die für Sicherheit sorgen.

• HTTPS ist HTTP über SSL/TLS.

• Zertifikate bestätigen den Domänenbesitz und verschlüsseln den Datenverkehr.

Dolibarr selbst übernimmt keine Verschlüsselung, sondern verlässt sich auf den Webserver (Apache, Nginx usw.).

4. Voraussetzungen für die HTTPS-Implementierung

• Ein gültiger Domänenname (nicht nur eine IP-Adresse)

• Ein öffentlich erreichbarer Server (oder eine interne CA für das Intranet)

• Administrativer Zugriff auf Ihren Webserver

• Dolibarr ordnungsgemäß installiert und funktionsfähig auf HTTP

5. Auswahl des richtigen SSL-Zertifikats

Zu den Optionen gehören:

• Lass uns verschlüsseln: Kostenlos, weit verbreitet, automatisch verlängerbar

• Kommerzielles SSL: Für längere Gültigkeit und Garantien

• Wildcard-SSL: Deckt Subdomänen ab (nützlich bei Multicompany-Konfigurationen)

Für die meisten Anwendungsfälle ist Let’s Encrypt ideal und kostengünstig.

6. Installieren von SSL auf gängigen Webservern

Apache-Beispiel (Ubuntu):

sudo apt update
sudo apt install certbot python3-certbot-apache
sudo certbot --apache

Nginx-Beispiel:

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx

Folgen Sie den Anweisungen zum Generieren und Installieren des Zertifikats.

7. Konfigurieren virtueller Hosts für HTTPS

Für Apache:

<VirtualHost *:443>
  ServerName yourdomain.com
  DocumentRoot /var/www/dolibarr/htdocs
  SSLEngine on
  SSLCertificateFile /etc/letsencrypt/live/yourdomain.com/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/yourdomain.com/privkey.pem
</VirtualHost>

Für Nginx:

server {
  listen 443 ssl;
  server_name yourdomain.com;
  ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
  root /var/www/dolibarr/htdocs;
}

8. Erzwingen von HTTPS in der Dolibarr-Konfiguration

Bearbeiten htdocs/conf/conf.php:

$dolibarr_main_force_https = 1;

Dadurch wird Dolibarr angewiesen, alle HTTP-Anfragen automatisch auf HTTPS umzuleiten.

9. Aktualisieren der Dolibarr-Basis-URL auf HTTPS

In Dolibarr:

• Gehe zu Setup > Anderes Setup

• Aktualisieren Sie alle URLs, die Folgendes enthalten: http:// zu https://

• Besonders relevant für Dokumentpfade und externe Links

10. Umleitung des gesamten Datenverkehrs auf HTTPS

Apache (über .htaccess):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Nginx:

server {
  listen 80;
  server_name yourdomain.com;
  return 301 https://$host$request_uri;
}

11. Umgang mit Warnungen zu gemischten Inhalten

Gemischter Inhalt tritt auf, wenn HTTPS-Seiten HTTP-Ressourcen laden:

• Aktualisieren Sie Bild-, Skript- und CSS-Links auf https://

• Verwenden Sie nach Möglichkeit relative Pfade

• Scannen Sie Vorlagen und benutzerdefinierte Module auf fest codierte URLs

Verwenden Sie Browser-Entwicklungstools (Registerkarte „Konsole“), um unsichere Elemente zu identifizieren.

12. Überprüfen der SSL-Installation und der Zertifikatsgültigkeit

Tools:

• https://www.ssllabs.com/ssltest/

• Browser-Schlosssymbol > Zertifikat > Details

Prüfen Auf:

• Ablaufdaten

• Zwischenzertifikatskette

• Korrekte Domänen- und Wildcard-Abdeckung

13. HTTPS und Modul-Interoperabilität

Einige Module (z. B. OAuth, Zahlungsgateways, APIs) erfordern HTTPS. Stellen Sie Folgendes sicher:

• Callback-URLs verwenden https://

• Token-Austausch ist sicher

• Externe Integrationen schlagen nicht unbemerkt aufgrund einer Protokollfehlanpassung fehl

14. Verwenden von Let’s Encrypt für kostenloses SSL

Let’s Encrypt ist ideal für kleine und mittlere Unternehmen:

• Automatische Validierung

• Keine Kosten

• Große Kompatibilität

Certbot übernimmt die Domänenüberprüfung und Zertifikatsbereitstellung.

15. Automatische Erneuerung und Cron-Jobs für SSL

Let's Encrypt-Zertifikate laufen alle 90 Tage ab. So richten Sie die Verlängerung ein:

sudo crontab -e
0 2 * * * /usr/bin/certbot renew --quiet

Testverlängerung manuell:

sudo certbot renew --dry-run

16. Testen und Validieren des sicheren Zugriffs

Nach der Konfiguration:

• Greifen Sie auf Dolibarr zu über https://yourdomain.com

• Testanmeldung, Datei-Uploads, API-Aufrufe

• Stellen Sie sicher, dass Sitzungen nicht auf HTTP zurückgreifen.

17. Sicherheitsheader zum Hinzufügen nach der HTTPS-Einrichtung

Verbessern Sie HTTPS mit:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set Content-Security-Policy "default-src 'self'"
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"

Diese Header schützen vor gängigen Webangriffen.

18. HTTPS in Multicompany- und Subdomain-Konfigurationen

Jede Subdomäne muss:

• Über ein eigenes Zertifikat (oder einen Platzhalter) verfügen

• Im Webserver konfiguriert werden

• Seien Sie mit seiner Entität in Dolibarr verbunden

Stellen Sie korrekte Weiterleitungen und SSL-Abdeckung pro Domäne sicher.

19. Leistungsüberlegungen bei HTTPS

Modernes HTTPS ist optimiert:

• Verwenden Sie HTTP/2 für eine schnellere Übermittlung mehrerer Anfragen

• Aktivieren Sie die GZIP-Komprimierung

• Verwenden Sie Caching-Header für statische Assets

Der SSL-Overhead ist auf modernen Servern minimal.

20. Fazit

Die Sicherung Ihres Dolibarr ERP mit HTTPS ist unerlässlich, um Ihre Daten zu schützen, Best Practices einzuhalten und sichere Integrationen zu ermöglichen. Von der Zertifikatsinstallation bis zur vollständigen HTTPS-Durchsetzung gewährleisten diese Schritte die Sicherheit, Vertrauenswürdigkeit und Zuverlässigkeit Ihrer Instanz.