pdadmin-forum

pdadmin-forum » Allgemeines » Wunschecke » letsencrypt ohne python » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen letsencrypt ohne python 2 Bewertungen - Durchschnitt: 9,002 Bewertungen - Durchschnitt: 9,002 Bewertungen - Durchschnitt: 9,002 Bewertungen - Durchschnitt: 9,00
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
monderka
Mitglied


Dabei seit: 06.11.2006
Beiträge: 194
Herkunft: Ansbach

letsencrypt ohne python Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo Zusammen,

ich weiß nicht wie es auch bei dem Thema SSL-Zertifikate mit letsencrypt geht.
Auf einigen aktuellen PD-Admin-Servern mit Debian 8 und Debian 9 habe ich die von Herrn Bradler empfohlene letsencrypt-Implementierung eingerichtet. Das funktioniert gut, aber ich habe so etwas die Befürchtung das mit dem ganzen - für mich - undurchsichtigen python-kram mit Kanonen auf Spatzen geschossen wird.

Wäre es nicht denkbar, wie bei vielen dingen im PD-Admin, eine einfache Bash-Script-Lösung für die Beantragung und Verlängerung von letsencrypt-Zertifikaten zu schaffen, die dann in der Standard-Umgebung vollständig enthalten ist?

Sowas zum Beispiel:
https://github.com/Neilpang/acme.sh/blob/master/README.md

Außerdem würde ich mir in der Subdomain-Verwaltung der Kunden wünschen das ich auch Subdomains von der automatischen letsencrypt-Beantragung ausschließen kann. Denn manchmal sind Domains bei uns angelegt mit dem automatischen www. obwohl nur eine andere subdomain bei uns darauf läuft und die www. irgendwo auf einem Server ohne unseren Zugriff. Dann würde man die Fehlermeldungen im certbot reduzieren.

Soweit meine Gedanken aktuell zu dem Thema. Da mit der EU-DSGVO die Verschlüsselung von Kontaktformularen und damit der Websites fahrt aufnimmt wäre was schlankes und praktisches wünschenswert.

viele Grüße
Manfred
02.02.2018 10:22 monderka ist offline E-Mail an monderka senden Homepage von monderka Beiträge von monderka suchen Nehme monderka in Deine Freundesliste auf
kai
Mitglied


Dabei seit: 20.05.2006
Beiträge: 65

RE: letsencrypt ohne python Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Die Idee finde ich gut :-)

Da der Wrapper /opt/pdadmin/bin/certbot-auto meine Umgebung leider nicht unterstützt, hantiere ich mit getssl herum :-\

Eigentlich müsste man das nur noch scripten und hätte eine Lösung die unabhängig von der Umgebung ist.

code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
# install
curl --silent https://raw.githubusercontent.com/srvrco/getssl/master/getssl > getssl ; chmod 700 getssl

./getssl -c domain.org

# edit global config
vi ~/.getssl/getssl.cfg
--
RELOAD_CMD="/opt/pdadmin/bin/httpd_vhosts.pl --activate-new-certificates"
ACL=('/opt/pdadmin/etc/ssl-validation/.well-known/acme-challenge')
USE_SINGLE_ACL="true"
--

# edit crontab, add
10 0 * * * /root/getssl -u -a -q

# edit domain config
vi ~/.getssl/domain.org/getssl.cfg
--
SANS=www.domain.org
DOMAIN_CERT_LOCATION="/opt/pdadmin/sslcerts/www.domain.org-cert"
DOMAIN_KEY_LOCATION="/opt/pdadmin/sslcerts/www.domain.org-key"
CA_CERT_LOCATION="/opt/pdadmin/sslcerts/www.domain.org-cacert"
--

# update vhosts table via SQL 
--
UPDATE vhosts
SET ssl_enabled = '1', ssl_active='1', sni = '1'
WHERE name = 'www'
AND domain = (SELECT id FROM domains WHERE name = 'domain.org')
--

/opt/pdadmin/bin/httpd_vhosts.pl
./getssl domain.org

Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von kai: 15.04.2018 11:30.

11.02.2018 22:02 kai ist offline E-Mail an kai senden Beiträge von kai suchen Nehme kai in Deine Freundesliste auf
monderka
Mitglied


Dabei seit: 06.11.2006
Beiträge: 194
Herkunft: Ansbach

Themenstarter Thema begonnen von monderka
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Den Ansatz finde ich auch gut.
Vielleicht wäre es möglich das der PD-Admin einfach eine Funktion bereit stellt die SSL-Zertifikate die in irgend einem Verzeichnis validiert liegen abarbeitet und in der Datenbank einstellt sowie die zertifikate im apache aktiviert.
Kann sein das das mit den Zertifikaten in /opt/pdadmin/sslcerts/www.domain.org-cert / -key / -cacert schon so ist, habe ich bisher nicht ausprobiert.
12.02.2018 08:59 monderka ist offline E-Mail an monderka senden Homepage von monderka Beiträge von monderka suchen Nehme monderka in Deine Freundesliste auf
Sumeragi
Mitglied


Dabei seit: 19.07.2016
Beiträge: 71

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von monderka
Den Ansatz finde ich auch gut.
Vielleicht wäre es möglich das der PD-Admin einfach eine Funktion bereit stellt die SSL-Zertifikate die in irgend einem Verzeichnis validiert liegen abarbeitet und in der Datenbank einstellt sowie die zertifikate im apache aktiviert.
Kann sein das das mit den Zertifikaten in /opt/pdadmin/sslcerts/www.domain.org-cert / -key / -cacert schon so ist, habe ich bisher nicht ausprobiert.


Ich denke ganz so einfach ist es nicht. Wenn ich mit die vadmin DB und darin die vhosts Tabelle anschaue, gibt es die Spalten 'ssl_enabled' und 'ssl_active'. Ich weiß nicht wozu diese dienen, gehe aber davon aus, dass für SSL-Zertifikat auch Änderungen in der DB notwendig sind.
12.02.2018 17:08 Sumeragi ist offline E-Mail an Sumeragi senden Homepage von Sumeragi Beiträge von Sumeragi suchen Nehme Sumeragi in Deine Freundesliste auf
kai
Mitglied


Dabei seit: 20.05.2006
Beiträge: 65

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Ich weiß nicht wozu diese dienen, gehe aber davon aus, dass für SSL-Zertifikat auch Änderungen in der DB notwendig sind.


Deswegen ja
code:
1:
UPDATE vhosts SET ssl_enabled = '1', ssl_active='1', sni = '1' WHERE name = 'www' AND domain = (SELECT id FROM domains WHERE name = 'domain.org')

Damit werden die Zertifikate in /opt/pdadmin/sslcerts/ genutzt.
Zumindest reichen die aufgelisteten manuellen Schritte pro Domain, damit die unter https läuft...
12.02.2018 23:20 kai ist offline E-Mail an kai senden Beiträge von kai suchen Nehme kai in Deine Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » Allgemeines » Wunschecke » letsencrypt ohne python

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de