Let's encrypt per ISPC und manuell

[mf76]

Auf dem Server laeuft ISPconfig 3.1 unter Ubuntu 16.04, dankenswerterweise kann hier fuer jeden vhost automatisch ein Let's encrypt-Zertifikat erzeugt werden. Gibt es denn eine Moeglichkeit hier auf einfachem Weg ein Zertifikat fuer die Serveradresse selbst, Mailserver, etc. p.p (also Subdomains die keinen eigenen vhost haben) zu erzeugen oder geht das nur "manuell" auf der Konsole? Und wenn man das manuell macht, bringt man dann den ISPC-Mechanismus durcheinander oder geht das ohne Probleme? Bzw. wie geht das mit der Verlaengerung der manuellen Zertifikate werden die dann beim automatischen verlaengern von ISPC mit erfasst?
Ansonsten waere das ja mal was fuer die Version 3.1.1, dass man fuer die Subdomains z. B. aus dem DNS-Template raus, ein entsprechendes Zertifikat erzeugen kann

Gruss und vielen Dank
Michael

 

[Till]

Damit letsenecrypt ein ssl cert erzeigen kann muss es die domain bzw. subdomain auf port 80 erreichen können, es muss also eine website mit dieser domain bestehen bzw. diese domain oder subdomain muss in ispconfig angelegt sein denn alle alias und subdomains werden ja automatisch dem ssl cert der webseite hinzugefügt.

 

[speedy8]

Hallo,

kann ich mich hier einmal einklinken. Also mein Server habe ich installiert mit einem HOstnamen, bspw. server.example.de
Zusätzlich habe ich ISPConfig am Laufen. Die Domain example.de habe ich jetzt nicht in ISPConfig erstellt, aber sie ist aufgrund -des Server-Namens ja selbst entsprechend auf Port 80 erreichbar.
Durch ISPConfig wird die LetsEncrypt-Cert-Erstellung ja nur für die Domains ausgelöst, welche ich auch in ISPConfig registriert habe.

Daher meine Verständnisfrage: kann ich die Zertifikats-Erstellung via Cronjob außerhalb ISPC durchführen oder muss ich zwingend die Server-Domain über ISPC registrieren? Und muss ich dieses Zertifikat dann irgendwie unter /etc/ssl verlinken bzw. kopieren?

Vielen Dank.

MfG

 

[reSh]

Du kannst die Certs auch manuell anlegen - ISPC macht ja im Grunde auch nichts anderes.

Und wenn ich den Code richtig verstanden habe, sollte der Renew der von ISPC angelegten Certs auch alle anderen - manuell - angelegten Certs erneuern.

 

[gw2345]

Ich habe das so geregelt:

1) Eine Website server.domain.de angelegt. und da LetsEncrypt enabled.
2) per Cron Scripte für Postfix, Dovecot, PureFTP und ispconfig Website gemacht, die checken ob sich das Zertifikat in /var/www/server.domain.de/ssl geändert hat und es dann für die einzelnen Anwendung mit cat richtig zusammenbauen, an die richtigen Stellen kopieren und dann die Dienste neu starten.

So long
Gerd

 

[reSh]

Hallo Gerd,

das klingt ganz interessant. Magst du dein Script mal der Allgemeinheit zur Verfügung stellen?

mfg reSh

 

[gw2345]

Ja, ist aber wirklich furchtbar schlechtes Flickwerk. Kann also nur als Anregung dienen.

Das Skript für ich 1x am Tag aus.

 

[reSh]

Hi,

dank dir. Ich habe schon deutlich schlimmere Scripte gesehen - und solange es funktioniert ist alles gut.

Beim Betrachten des Scriptes ist mir eine Idee gekommen. Es mösste doch eine Möglichkeit geben, um auf Dateiveränderungen mit einem Command zu reagieren.

Inotify fiel mir da ein. Kurz mal was gegoogelt und ich habe das hier gefunden.
https://github.com/norgeous/inotify-autocommand
Theoretisch müsste dies exakt das selbe erledigen - nur halt etwas eleganter inkl. Logging.

Ich werde das mal umsetzen.

Danke nochmal an Gerd für den Denkanstoß.

mfg reSh

Edit: vielleicht kann man damit ich die Zeit zum Umsetzen von Änderungen in ISPC beschleunigen. Ich bin ein sehr ungeduldiger Mensch - wenn ich eine Anweisung gebe, z.B. FTP User anlegen, will ich, dass es sofort gemacht wird und nicht erst wenn der Cron wieder läuft.

Als Trigger könnte man die Datenbank Files in /var/lib/mysql/dbispconfig nehmen. Dort werden alle Anweisungen ja sofort eingetragen ergo müsste dies als Trigger funktionieren.

 

[florian030]

Ehe Du mit inotify spielst, erstelle doch ein server-plugin, dass an die entsprechenden actions gebunden ist.

 

[reSh]

Hallo Florian,

programmieren ist nicht so mein Bereich. Ich weiss zwar was alles machbar ist und auch, wie man Informationen und Daten verknüpft aber selbst umsetzen kann ich es nicht. Mir fehlt da eine Hirnwindung um die Syntax zu kapieren - Shellscripting hingegen fällt mir deutlich leichter - bin da aber auch nicht perfekt oder allwissend.

 

[methos]

Wenn ich ein zusätzliches letsencrypt Zertifikat über die Console erstelle, wird dies also automatisch von ISPConfig mit verlängert? Ansonsten müsste ich dies erstmal beobachten und notfalls einen manuellen cronjob dafür erstellen.
Vielleicht kann das ja jemand bestätigen?

 

[audia8]

Hallo,
zu dem Thema hätte ich auch eine Frage. Die Idee mit dem Zertifikate zusammensetzen ist auch nicht schlecht Ich habe mir ein Cert für alle meine Domains incl. Sub generieren lassen. Lässt sich dies Auto Erneuerung von Ispconfig abschalten? Mein Cronjob erledigt eigentlich alles was ich brauche problemlos.