Lets Encrypt

[hahni]

Hallo zusammen,
seit ISPConfig 3.1 soll ja automatisch für jede Webpräsenz Lets Encrypt nutzbar sein. Was genau muss denn getan werden, damit man ein Zertifikat einrichten und nutzen kann? Natürlich möchte ich auch die Möglichkeit der automatischen Erneuerung via ISPC nutzen. Gibt es dazu irgendwo Anleitungen, die ich möglicherweise übersehen habe?
Viele Grüße von
Hahni

 

[robotto7831a]

Du installierst, wie in der aktuellen Anleitung beschrieben, den certbot und fertig. Dann bei der jeweiligen Webseite den Haken setzen und das wars.

 

[hahni]

Leider scheint es das Paket für Ubuntu 14.04 nicht zu geben:
--
apt-get -y install letsencrypt
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
E: Paket letsencrypt kann nicht gefunden werden.
--

 

[hahni]

Ich habe deswegen den Bot wie in Step1 beschrieben manuell für Ubuntu 14.04 installiert:
https://www.digitalocean.com/commun...ure-apache-with-let-s-encrypt-on-ubuntu-14-04
Allerdings wird nun - auch wenn ich den Haken für das Web setze - kein Zertifikat erzeugt.

 

[robotto7831a]

Schau mal in die Logdatei in /var/log/letsencrypt/

 

[hahni]

Habe ich doch. Dort steht es genau so (für Ubuntu 16.04):
apt-get -y install letsencrypt

 

[hahni]

/var/log/letsencrypt/: Datei oder Verzeichnis nicht gefunden

 

[nowayback]

such mal nach nem beitrag von mir der die certbot-auto installation beinhaltet... ist ne sache von 2 minuten. danach kann auch ispconfig zertifikate erzeugen

 

[hahni]

Wenn ich "certbot-auto" von Hand aufrufe, kommt folgendes:
--
Paketlisten werden gelesen... Fertig
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
gcc ist schon die neueste Version.
gcc wurde als manuell installiert festgelegt.
python ist schon die neueste Version.
ca-certificates ist schon die neueste Version.
openssl ist schon die neueste Version.
Die folgenden zusätzlichen Pakete werden installiert:
libexpat1-dev libpython-dev libpython2.7-dev python-setuptools python2.7-dev
zlib1g-dev
Vorgeschlagene Pakete:
augeas-doc augeas-tools
Empfohlene Pakete:
libssl-doc python-pip
Die folgenden NEUEN Pakete werden installiert:
augeas-lenses libaugeas0 libexpat1-dev libffi-dev libpython-dev
libpython2.7-dev libssl-dev python-dev python-setuptools python-virtualenv
python2.7-dev zlib1g-dev
0 aktualisiert, 12 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
Es müssen 25,8 MB an Archiven heruntergeladen werden.
Nach dieser Operation werden 46,8 MB Plattenplatz zusätzlich benutzt.
Möchten Sie fortfahren? [J/n]

 

[hahni]

Ich habe die Sache hinbekommen. Jetzt fehlen noch ein paar Kleinigkeiten wie z. B., dass bei Aufruf der http-Seite direkt auf https umgesprungen wird. Und wird das Zertifikat tatsächlich automatisch erneuert? Wie ist das seitens ISPConfig sichergestellt?

 

[planet_fox]

1.) das geht doch im site Bereich unter Punkt zwei, ich würde es aber besser über das cms lösen.
2.) das stellt glaub ich der certbot sicher.

 

[hahni]

Die Sache mit der Einstelloption (1) habe ich schon gefunden. Ich kann bestätigen, dass dies einwandfrei klappt. Punkt (2) wüsste ich gerne sicher - nicht dass es dann nachträglich zu Problemchen kommt. Aber vielleicht weiß Till dazu mehr? Denn wenn das Teil automatisch aktualisieren würde: müsste es dann nicht einen Cron-Job geben?

 

[planet_fox]

ok ich vermute das es eine routine im ISPConfig der via cronjob aufgerufen wird
https://dominicpratt.de/lets-encrypt-certbot-apache/

 

[planet_fox]

see here
https://www.howtoforge.de/forum/threads/ispconfig-3-1-und-letsencrypt-renew.10261/

 

[hahni]

Ich habe mal über Nacht beobachtet, ob alles einwandfrei funktioniert. Die besagte Webpräsenz (https://www.goldene-zeiten.info/) arbeitet nun zuverlässig und einwandfrei über SSL. Allerdings wird nun nicht mehr über Piwik getrackt. Vermutlich, weil es nur via http anstelle von https aufgerufen wird? Aber für den Piwik-Server habe ich noch keine https-Anbindung. Was tun?

 

[planet_fox]

Ja das ist normal, hatte am anfang auch das Problem. piwik und die Seite müssen https haben damit es funktioniert.

 

[hahni]

Auf der Piwik-Maschine habe ich kein ISPC laufen, sondern das System ist ohne Control-Panel. Ich habe dafür folgende Anleitung benutzt: https://certbot.eff.org/#ubuntuxenial-apache
Die Installation hat einwandfrei geklappt. Wenn ich allerdings "certbot --apache" aufrufe, erhalte ich folgenden unerfreulichen Fehler:
--
Created an SSL vhost at /etc/apache2/sites-available/piwik-le-ssl.conf
Enabled Apache socache_shmcb module
Enabled Apache ssl module
Deploying Certificate to VirtualHost /etc/apache2/sites-available/piwik-le-ssl.conf
Enabling available site: /etc/apache2/sites-available/piwik-le-ssl.conf
Error while running apache2ctl configtest.
Action 'configtest' failed.
The Apache error log may have more information.

apache2: Syntax error on line 219 of /etc/apache2/apache2.conf: Syntax error on line 19 of /etc/apache2/sites-enabled/piwik-le-ssl.conf: Expected </VirtualHost> but saw </VirtualHost></IfModule>

Rolling back to previous server configuration...
Error while running apache2ctl configtest.
Action 'configtest' failed.
The Apache error log may have more information.

apache2: Syntax error on line 219 of /etc/apache2/apache2.conf: Syntax error on line 19 of /etc/apache2/sites-enabled/piwik-le-ssl.conf: Expected </VirtualHost> but saw </VirtualHost></IfModule>


IMPORTANT NOTES:
- We were unable to install your certificate, however, we
successfully restored your server to its prior configuration.

 

[planet_fox]

Die "piwik-le-ssl.conf" hat meiner Meinung nach in sites enable gar nix verloren . Schaut nach nem Fehler in der vhost aus . was steht den in Zeile 19 als Fehler oder auch in der apache log

 

[hahni]

Diese .conf gibt es ja nicht wirklich. Die wird ja versucht, zu schreiben vom cert-bot. Aber ich habe folgende Einträge in /var/log/letsencrypt/letsencrypt.log
--
2017-04-19 20:21:06,736EBUG:certbot.error_handler:Calling registered functions
2017-04-19 20:21:06,737:CRITICAL:certbot.client:Rolling back to previous server configuration...
2017-04-19 20:21:07,178EBUG:certbot.reporter:Reporting to user: We were unable to install your certificate, however, we successfully restored your server to its prior configuration.
2017-04-19 20:21:07,181EBUG:certbot.main:Exiting abnormally:
Traceback (most recent call last):
File "/usr/bin/certbot", line 11, in <module>
load_entry_point('certbot==0.11.1', 'console_scripts', 'certbot')()
File "/usr/lib/python2.7/dist-packages/certbot/main.py", line 882, in main
return config.func(config, plugins)
File "/usr/lib/python2.7/dist-packages/certbot/main.py", line 612, in run
lineage.chain, lineage.fullchain)
File "/usr/lib/python2.7/dist-packages/certbot/client.py", line 399, in deploy_certificate
self.installer.restart()
File "/usr/lib/python2.7/dist-packages/certbot_apache/configurator.py", line 1657, in restart
self.config_test()
File "/usr/lib/python2.7/dist-packages/certbot_apache/configurator.py", line 1680, in config_test
raise errors.MisconfigurationError(str(err))
MisconfigurationError: Error while running apache2ctl configtest.
Action 'configtest' failed.
The Apache error log may have more information.

apache2: Syntax error on line 219 of /etc/apache2/apache2.conf: Syntax error on line 19 of /etc/apache2/sites-enabled/piwik-le-ssl.conf: Expected </VirtualHost> but saw </VirtualHost></IfModule>