Lets encrypt SSL Zertifikat erstellen

[MB.n]

Hey Leute,

ich habe mich die letzten 1-2 Wochen ordentlich mit ISPConfig beschäftigt und habe es inzwischen ziemlich lieb gewonnen. Doch leider steige ich durch das "Lets encrypt" System noch nicht ganz durch. Hab ich richtig verstanden, dass man über die Lets encrypt API sogesagt ein Class 1 SSL Zertifikat für die eigene Webseite erstellen kann damit man nicht mehr diese ganzen selbst signierten hat?

Und wenn ich für eine bestehende Domain Beispiel domain.tld vom Kunden Beispiel xyz gerne ein solches SSL Zertifikat anlegen möchte, wie genau gehe ich da vor? Ist mir fast peinlich, dass ich mein primary und secondary dns mittels bind selbst aufgesetzt habe aber nicht weiß wie dieses Lets encrypt funktionieren soll

Beste Grüße
MBn

 

[Till]

Hab ich richtig verstanden, dass man über die Lets encrypt API sogesagt ein Class 1 SSL Zertifikat für die eigene Webseite erstellen kann damit man nicht mehr diese ganzen selbst signierten hat?

Ja.

Und wenn ich für eine bestehende Domain Beispiel domain.tld vom Kunden Beispiel xyz gerne ein solches SSL Zertifikat anlegen möchte, wie genau gehe ich da vor?

Haken bei "Letsencrypt SSL" in der Webseite setzen und auf speichern klicken.

 

[MB.n]

Okay, das habe ich bereits probiert und das will wohl nicht so ganz wie es soll. Man sage dazu, dass System habe ich letzte Nacht komplett Fresh nach dem Debian Jessie 8.4 Tutorial aufgebaut. Das einzige was danach noch passiert ist, ist ssh Port geändert und Fail2Ban, munin und monit eingerichtet, also nichts relevantes.

Vor dem erneuten Test gerade habe ich die /var/log/apache2/error.log Datei gecleared und dann den Haken bei Letsencrypt SSL" gesetzt und gespeichert. In dieser kurzen Zeit hat der log folgendes angelegt (Es hängt alles damit zusammen, da ich seit 3:50 Uhr keine Error mehr hatte bevor ich eben gecleared habe, wo ich es zuletzt probiert hatte.)

[Tue Oct 25 10:46:05.269970 2016] [mpm_prefork:notice] [pid 28108] AH00169: caught SIGTERM, shutting down
[ 2016-10-25 10:46:06.4482 24402/7f8b5a21a740 agents/Watchdog/Main.cpp:538 ]: Options: { 'analytics_log_user' => 'nobody', 'default_group' => 'nogroup', 'default_python' => 'python', 'default_ruby' => '/usr/bin/ruby', 'default_user' => 'nobody', 'log_level' => '0', 'max_pool_size' => '6', 'passenger_root' => '/usr/lib/ruby/vendor_ruby/phusion_passenger/locations.ini', 'passenger_version' => '4.0.53', 'pool_idle_time' => '300', 'temp_dir' => '/tmp', 'union_station_gateway_address' => 'gateway.unionstationapp.com', 'union_station_gateway_port' => '443', 'user_switching' => 'true', 'web_server_passenger_version' => '4.0.53', 'web_server_pid' => '24400', 'web_server_type' => 'apache', 'web_server_worker_gid' => '33', 'web_server_worker_uid' => '33' }
[ 2016-10-25 10:46:06.4538 24405/7f86c3649740 agents/HelperAgent/Main.cpp:650 ]: PassengerHelperAgent online, listening at unix:/tmp/passenger.1.0.24400/generation-0/request
[ 2016-10-25 10:46:06.4662 24413/7f35fb33f780 agents/LoggingAgent/Main.cpp:321 ]: PassengerLoggingAgent online, listening at unix:/tmp/passenger.1.0.24400/generation-0/logging
[ 2016-10-25 10:46:06.4664 24402/7f8b5a21a740 agents/Watchdog/Main.cpp:728 ]: All Phusion Passenger agents started!
[Tue Oct 25 10:46:06.467718 2016] [ssl:warn] [pid 24400] AH01906: srv01.domain.tld:8080:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Tue Oct 25 10:46:06.467883 2016] [ssl:error] [pid 24400] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=webmaster@domain.tld,CN=srv01.domain.tld,O=domain.tld,L=MyCity,ST=MyState,C=DE / issuer: emailAddress=webmaster@domain.tld,CN=srv01.domain.tld,O=domain.tld,L=MyCity,ST=MyState,C=DE / serial: A14D05E123D90425 / notbefore: Oct 24 23:12:19 2016 GMT / notafter: Oct 22 23:12:19 2026 GMT]
[Tue Oct 25 10:46:06.467898 2016] [ssl:error] [pid 24400] AH02567: Unable to configure certificate srv01.domain.tld:8080:0 for stapling
[Tue Oct 25 10:46:06.468127 2016] [suexec:notice] [pid 24400] AH01232: suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Tue Oct 25 10:46:06.516980 2016] [auth_digest:notice] [pid 24422] AH01757: generating secret for digest authentication ...
[Tue Oct 25 10:46:06.521655 2016] [:notice] [pid 24426] FastCGI: process manager initialized (pid 24426)
[ 2016-10-25 10:46:06.5251 24428/7ff8aaa1c740 agents/Watchdog/Main.cpp:538 ]: Options: { 'analytics_log_user' => 'nobody', 'default_group' => 'nogroup', 'default_python' => 'python', 'default_ruby' => '/usr/bin/ruby', 'default_user' => 'nobody', 'log_level' => '0', 'max_pool_size' => '6', 'passenger_root' => '/usr/lib/ruby/vendor_ruby/phusion_passenger/locations.ini', 'passenger_version' => '4.0.53', 'pool_idle_time' => '300', 'temp_dir' => '/tmp', 'union_station_gateway_address' => 'gateway.unionstationapp.com', 'union_station_gateway_port' => '443', 'user_switching' => 'true', 'web_server_passenger_version' => '4.0.53', 'web_server_pid' => '24422', 'web_server_type' => 'apache', 'web_server_worker_gid' => '33', 'web_server_worker_uid' => '33' }
[ 2016-10-25 10:46:06.5356 24431/7fecb44b9740 agents/HelperAgent/Main.cpp:650 ]: PassengerHelperAgent online, listening at unix:/tmp/passenger.1.0.24422/generation-0/request
[ 2016-10-25 10:46:06.5496 24436/7fa60b163780 agents/LoggingAgent/Main.cpp:321 ]: PassengerLoggingAgent online, listening at unix:/tmp/passenger.1.0.24422/generation-0/logging
[ 2016-10-25 10:46:06.5498 24428/7ff8aaa1c740 agents/Watchdog/Main.cpp:728 ]: All Phusion Passenger agents started!
[Tue Oct 25 10:46:06.606523 2016] [:error] [pid 24422] python_init: Python version mismatch, expected '2.7.5+', found '2.7.9'.
[Tue Oct 25 10:46:06.606745 2016] [:error] [pid 24422] python_init: Python executable found '/usr/bin/python'.
[Tue Oct 25 10:46:06.606758 2016] [:error] [pid 24422] python_init: Python path being used '/usr/lib/python2.7/:/usr/lib/python2.7/plat-x86_64-linux-gnu:/usr/lib/python2.7/lib-tk:/usr/lib/python2.7/lib-old:/usr/lib/python2.7/lib-dynload'.
[Tue Oct 25 10:46:06.606814 2016] [:notice] [pid 24422] mod_python: Creating 8 session mutexes based on 150 max processes and 0 max threads.
[Tue Oct 25 10:46:06.606823 2016] [:notice] [pid 24422] mod_python: using mutex_directory /tmp
[Tue Oct 25 10:46:06.626650 2016] [ssl:warn] [pid 24422] AH01906: srv01.domain.tld:8080:0 server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
[Tue Oct 25 10:46:06.626812 2016] [ssl:error] [pid 24422] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: emailAddress=webmaster@domain.tld,CN=srv01.domain.tld,O=domain.tld,L=MyCity,ST=MyState,C=DE / issuer: emailAddress=webmaster@domain.tld,CN=srv01.domain.tld,O=domain.tld,L=MyCity,ST=MyState,C=DE / serial: A14D05E123D90425 / notbefore: Oct 24 23:12:19 2016 GMT / notafter: Oct 22 23:12:19 2026 GMT]
[Tue Oct 25 10:46:06.626828 2016] [ssl:error] [pid 24422] AH02567: Unable to configure certificate srv01.domain.tld:8080:0 for stapling
[Tue Oct 25 10:46:06.634845 2016] [mpm_prefork:notice] [pid 24422] AH00163: Apache/2.4.10 (Debian) mod_fastcgi/mod_fastcgi-SNAP-0910052141 mod_fcgid/2.3.9 Phusion_Passenger/4.0.53 mod_python/3.3.1 Python/2.7.9 OpenSSL/1.0.1t configured -- resuming normal operations
[Tue Oct 25 10:46:06.634901 2016] [core:notice] [pid 24422] AH00094: Command line: '/usr/sbin/apache2'

Würde mich freuen wenn jemand von euch mir helfen kann, warum Letsencrypt nicht sauber arbeitet.

 

[bon]

Hi,
also du gehst folgendermaßen vor:
1. Den Let´s Encrypt Certbot nach /opt/certbot installieren

cd /opt
mkdir certbot
cd certbot
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

2. Prüfen ob folgende Verzeichnisse NICHT existieren, falls ja bitte löschen:

/etc/letsencrypt
/root/.local/share/letsencrypt

3. Certbot einmal ausführen:

cd /opt/certbot
./certbot-auto

WICHTIG! Wenn in dem Fenster Domains aufgeführt werden, bitte unbedingt abhaken (nicht markieren) und auf OK klicken.

4. Fertig.
Jetzt wird im Ispconfig, sofern für den Kunden genehmigt beim Klick auf "Let's Encrypt SSL" und speichen ein Zertifikat erstellt und in den Kundenverzeichnis /ssl als Symlink von /etc/letsencrypt/live/DOMAIN/...pem abgelegt.

P.S. Bitte vorher prüfen ob auch kein "normales SSL-Cert" installiert war. Dann vorher natürlich löschen.

 

[MB.n]

Danke Bon Hat super funktioniert.

Kurze Anleitung wie man das Zertifikat auch für ISPConfig Dashboard nutzt:

Mein Setup sieht wiefolgt aus:
-Letsencrypt Zertifikat erstellt für den Kunden mit meiner eigenen company Domain - also domain.tld
-ISPConfig läuft aktuell über domain.tld:8080

Aber wie bekommt man nun das SSL Zertifikat auch für ISPConfig? Das geht ganz einfach. Erstmal packen wir das selbst signierte in einen Ordner um ein Backup zu haben:

mkdir /usr/local/ispconfig/interface/ssl/original
mv /usr/local/ispconfig/interface/ssl/isp* /usr/local/ispconfig/interface/ssl/original

Nun brauchen wir nur noch das Letsencrypt Zertifikat mit einem Symlink für ISP verlinken:

ln -s /etc/letsencrypt/live/domain.tld/fullchain.pem /usr/local/ispconfig/interface/ssl/ispserver.crt
ln -s /etc/letsencrypt/live/domain.tld/privkey.pem /usr/local/ispconfig/interface/ssl/ispserver.key

und einmal kurz Apache neustarten:

service apache2 restart

 

[dArk4psyco]

Hi, ich habe auch den Letsencrypt certbot nach dieser Anleitung installiert.
Im Log bekomme ich täglich diese Fehlermeldung

2016-10-31 02:00:46,148:WARNING:certbot.cli:You are running with an old copy of letsencrypt-auto that does not receive updates, and is less reliable than more recent versions. We recommend upgrading to the latest certbot-auto script, or using native OS packages.

Hat einer ne Idee dazu?

Danke

 

[florian030]

Aktualisiere doch mal certbot. Sowas wie
cd /opt/certbot
./certbot-auto
Und dann aber keine vhosts auswählen

 

[m70d3v]

@bon

danke für deine anleitung, hat bei mir super geklappt .. nur zwei fragen stellen sich mir jetzt noch .. auf meinen server befinden sich 3 domains mit gekauften zertifiakt von rapidSSL (3 jahre) .. das macht nichts oder ? ich muss die domain ja nicht auswählen ..

wie funktioniert das mit dem update des zertifikates von let´s encrypt ? atuallisiert sich das von selbst oder muss ich dazu was tun ?