SSL Konfiguration

[Olli2k]

Aloha,
ich hoffe, dass ich hier nicht nur auf totals Unverständnis stoße, aber aktuell sehe ich keinen anderen Ausweg, als die Zeit anderer Leute zu verschwenden, die in diesem technischem Bereich des Leben weitaus mehr Erfahrung und Können aufweisen als ich.
Kurzum, stundenlanges googlen, lesen im Forum und das durchforsten der Tutorials hat mir keinen Ansatz gebracht, wie ich weiterkomme.

Ich habe vor 2 oder 3 Jahren damit angefangen, meine ISPCONFIG Setup (Apache2, MariaDB, Postfix, Courier, PureFTP) mit diesem Tutorial:
https://www.howtoforge.com/securing...h-a-free-class1-ssl-certificate-from-startssl
der SSL Fähigkeit ein Stückchen näher zu bringen. So ganz geklappt hat das irgendwie nie und irgend ein Programm oder eine App, hatte immer etwas zu meckern. Das Resultat war jedoch erträglich. Nun scheint ja, Ende 2016 StartSSL nicht mehr so der ganz vertrauenswürdige Zertifikat Provider zu seiin und einige Browser haben ernsthafte Probleme mit meinem Server zu kommunizieren.

Während meiner Informationsphase, bin ich natürlich hie rund da auf ISPCONFIG 3.1 und die Letsencrypt Unterstützung gestoßen. Hört sich erstmal toll an, aber ich finde weder im Webfrontend, noch in irgendwo anders, Hinweise wie das ganz genau funktioniert! Auch die neu erworbene Anleitung hat mich an dieser Stelle nicht wirklich weiter gebracht. (Gibt es die nicht mehr auf Deutsch?). Zwar wird eine Installation des Certbot beschrieben, aber nicht wie es weiter geht. Die Installation habe ich bisher auch nicht durchgeführt, weil praktischerweise die Befehle nicht aus dem Dokument kopierbar sind. (Ist das so gewollt?!?)

Praktisch gesehen, quälen mich primär folgende Fragen:
1. Mit der Installation des in der Anleitung beschriebenen Certbot, ändert sich irgendetwas in ISPCONFIG ? Kommt dann ein "David Copperfield does SSL" Button?
2. Habe ich durch die Aktivitäten zum Thema SSL durch Startssl irgendwelche Aktivitäten durchgeführt, die rückgängig gemacht werden müssen?
3. Gibt es diese ganzen Fragen vielleicht schon und ein einzelner Link kann mich erlösen ?

Danke im voraus!

 

[wotan2005]

https://www.howtoforge.de/forum/search/68278/?q=letsencrypt&o=relevance

sollte dir dabei sicherlich behilflich sein.

 

[nowayback]

mkdir /opt/certbot
cd /opt/certbot
wget https://dl.eff.org/certbot-auto
chmod a+x ./certbot-auto

dann certbot-auto einfach einmal starten, dann aktualisiert und installiert der sich (also: ./certbot-auto)
Sollte dabei ein Screen aufgehen, dann dort "No" wählen. Damit ist die Installation fertig.

Unter Ispconfig 3.1 findest du bei der Webseiten Konfiguration eine Möglichkeit Lets Encrypt anzuhaken. Wenn du den Haken setzt versucht ISPConfig mittels certbot-auto ein Zertifikat für diese Domain zu erhalten. Sollte das nicht geklappt haben, kannst du im Log unter /var/log/letsencrypt nachlesen warum das nicht klappte.

Viel Erfolg.

 

[Till]

(Gibt es die nicht mehr auf Deutsch?)

Das ISPCnfig 3 Handbuch gab es noch nie auf Deutsch.

Zwar wird eine Installation des Certbot beschrieben, aber nicht wie es weiter geht.

Wie es weiter geht steht auf Seite 137.

Die Installation habe ich bisher auch nicht durchgeführt, weil praktischerweise die Befehle nicht aus dem Dokument kopierbar sind. (Ist das so gewollt?!?)

Das hängt davon ab, mit welchem Reader Du es öffnest. Mach es mal in Firefox auf, dann kannst Du die Befehle auch kopieren.

 

[Olli2k]

Zunächst einmal vielen Dank für die Beiträge. Cert-bot ist installiert und ich konnte für alle Domain automatisisch Zertifikate erstellen lassen. Leider funktioniert es nicht so richtig. Daher ergibt sich noch ein kleiner Fragen Katalog.
1. Viele Webseiten sind bei mir auf Subdomains angelegt. Muss ich LE nur für die tdl aktivieren, oder auch für die Webseiten mit der sub.tdl ? Letzteres ist mometan aktiv. Die Die tdl funktionieren gar nicht und ein paar subs gehen. Laut LE und Cron Log gab es bei der Erstellung keine Probleme und jede Domain hat einen Ordner in /etc/letsencrypt/live.
Für alle nicht funktionierenden Vhosts gibt es übrigens im Apache eine sites -available .vhost.err config. Da ich den Apache momentan nicht ohne Probleme neustarten kann (ohne PID Prozess kill, bleiben die Ports belegt), habe ich mir mal das Apache log angeschaut:

[Thu Apr 06 17:02:17.557136 2017] [ssl:error] [pid 26183] AH02567: Unable to configure certificate ispc3.domain.de:80XX:0 for stapling
[Thu Apr 06 17:02:17.559986 2017] [mpm_prefork:notice] [pid 26183] AH00163: Apache/2.4.10 (Debian) mod_fastcgi/mod_fastcgi-SNAP-0910052141 mod_fcgid/2.3.9 OpenSSL/1.0.1t configured -- resuming normal operations
[Thu Apr 06 17:02:17.560008 2017] [core:notice] [pid 26183] AH00094: Command line: '/usr/sbin/apache2'
[Thu Apr 06 17:02:19.621649 2017] [mpm_prefork:notice] [pid 26183] AH00169: caught SIGTERM, shutting down
[Thu Apr 06 17:02:27.035917 2017] [ssl:error] [pid 26317] AH02217: ssl_stapling_init_cert: can't retrieve issuer certificate! [subject: CN=ispc3.domain.de,C=DE / issuer: CN=StartCom Class 1 DV Server CA,OU=StartCom Certification Authority,O=StartCom Ltd.,C=IL / serial: CENSORED/ notbefore: Oct 21 06:15:52 2016 GMT / notafter: Oct 21 06:15:52 2019 GMT]

Hier macht wohl mein altes Zertifikat ziemliche Probleme., womit wir zur Frage 2 kommen:

2. Wie verwalte ich das Zertifikat für die Server ISPC3 Domain?
2.2 Wie werde ich jetzt meinen Showstopper Fehler möglichst schnell los? Reicht es da ISCONFIG neu zu installieren und die Option bezüglich neuer Zertifkikate zu bestätigen und anschliessend:

cd /usr/local/ispconfig/interface/ssl/
openssl req -new -newkey rsa:4096 -days 365 -nodes -keyout ispserver.key -out ispserver.csr

?
3. Wie sieht es mit pure-ftp, courrier und postfix aus? Soweit ich aus diversen Foren beiträgen erlesen habe, gibt es ja keine multi Aliases Unterstützung (heisst das SNI?) Man müsste sich also auf eine Domain inkl Zertifikat festlegen, ist das so korrekt? Kann ich das auch irgendwie mit ISPCONFIG verwalten? Oder zumindest den Teil mit dem auto renew ? Gerade bei pure-ftp ist das doch etwas happiger, weil wenn ich mich richtig erinnere dort 2 files zusammen kopiert werden mussten.

Wieder Danke im voraus!

 

[Olli2k]

Frage 2 kann ich jetzt selbst beantworten:
Im ISP Config geht das wohl leider noch nicht, daher habe ich folgende Aktionen durchgeführt:

cd /opt/certbot
./certbot-auto

Im folgenden textbasiertem Menü werdet ihr nach der Domain gefragt die ihr zertifiezieren wollt, wählt hier eure ISPC3 domain. Da kein gleichnamiger vhost Eintrag gefunden wird, werdet ihr auch nach diesem gefragt. In der Regel sollte eure Wahl ispconfig.vhost sein.

Nun sollte euer neues Zertifikat unter /etc/letsencrypt/live/domain.ltd liegen.
Vorweg, bei mir hat das nicht funktioniert. Das mag an meinem apache Problem gelegen haben, oder an den bereits ausgestellten Zertifikaten. Die Challenge schlug auf jeden Fall fehl. Falls der Fehler auch bei jemand anderem auftritt:

Apache stoppen
cd /opt/certbot
./certbot-auto certonly --standalone

Nun einfach den Domainnamen angeben und der Certbot wird einen eigenen temporären Webserver zur Zerti Erstellung nutzen. Das Ergebnis ist das gleiche wie oben, allerdings ist eure ispconfig.vhost jetzt nicht automatisch bearbeiitet worden.

Das musst ihr jetzt selbst machen, indem ihr folgende Einträge macht, oder die vorhandene Einträge nutzt und die entsprechenden Symlinks auf die aktuellen Dateien umschiesst bzw. erstellt.

SSLCertificateFile /etc/letsencrypt/live/domain.ltd/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/domain.ltd/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/domain.ltd/chain.pem

Vielelicht hilft es ja jemandem.