Verbessere Challenge-Angaben, TLS-Fixes und Windows-Tauglichkeit

Fachliche Fixes:
- Easy-RSA: explizites --subject-alt-name (SAN) ergaenzt, sonst
  scheitert curl trotz CA-Import
- HSTS: max-age auf 3600 reduziert, includeSubDomains erklaert,
  Warnung zur host-weiten Browser-Falle + Reset-Weg
- Challenge 9: Backup-/Restore-Schritte fuer nginx.conf
- Compose-Portwechsel: redeploy statt proxy-reload klargestellt
- log_format-Platzierung (http-Block) dokumentiert
- add_header-Vererbungsfalle erklaert (Ch. 4 + Abgrenzung Ch. 8)

Angabe-Struktur (alle 13 Challenges):
- Einheitliches Schema: Ausgangszustand, Schritte (Muss),
  Zielzustand/Akzeptanz, erwartete Done-Check-Ausgaben
- Arbeitsweise global geklaert (additiv, Ausnahme Ch. 9, Reset)

Robustheit/Kosmetik:
- Load-Balancing: eindeutiger INSTANCE-Marker statt fragilem grep
- Challenge-3-Titel auf "Alias-Route" korrigiert
- HTTPS_PORT in .env.example parametrisiert
- Umlaut-Konsistenz (ASCII)

Windows-Tauglichkeit:
- Klargestellt: Test-Kommandos laufen in WSL bash, nicht PowerShell
  (curl-Alias-Falle), Stack-Steuerung per Wrapper oder WSL
- Wireshark: empfohlener Capture-Weg in WSL (tshark), npcap-Hinweis
- CA-Import: Linux-Trust-Store (WSL) vs Windows-Browser (certutil)

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

This commit is contained in:

hkoeck

2026-05-31 22:08:41 +02:00

parent 1739810044

commit 79a13f0919

12 changed files with 294 additions and 96 deletions

									
										.env.example
									
		+7
		
												View File
												
				@@ -1 +1,8 @@

				# Host-Port fuer HTTP (Reverse Proxy -> Container Port 80)

				HTTP_PORT=8080

				# Host-Port fuer HTTPS, wird erst ab Challenge 10 genutzt (-> Container Port 443).

				# Hinweis: Nginx liest in der statischen Config keine Env-Variablen. Wenn du diesen

				# Wert aenderst, musst du den Redirect-Zielport in proxy/nginx.conf

				# (z. B. "return 301 https://$host:8443$request_uri;") manuell angleichen.

				HTTPS_PORT=8443