SSL Renewal

Dieses Thema im Forum "Feature Requests" wurde erstellt von Blackbit, 19. Juni 2014.

  1. Blackbit

    Blackbit New Member

    Hallo Leute,

    ich vermisse gerade irgendwie im ISPConfig-Interface die direkte Möglichkeit einen neuen CSR für das Renewal eines Zertifikates zu erstellen.

    Die Option "Zertifikat erstellen" macht natürlich auch einen neuen CSR, setzt dann aber auch das self-signed Zertifikat direkt für die Domain ein, dann wäre der Shop-Betrieb ja während des Bestellvorganges "gestört".


    Gruß,
    Blackbit
     
  2. Till

    Till Administrator

    Das CSR muss nicht neu erstellt werden bei einer renewal. Du kannst einfach das bestehende ssl csr noch einmal nutzen, das läuft nicht ab.
     
  3. Blackbit

    Blackbit New Member

    Ja das ist natürlich richtig, aber es gibt Fälle wo das nötig ist. Wie z.B. die ganze Heartbleed-Geschichte. Dafür müsste zwar eigentlich das Zertifikat inkl. Key komplett neu gemacht werden, doch würde auch dann wieder das Zertifikat sofort ungültig sein und während des Bestellvorganges die Kunden wieder gewarnt werden.
    Aber für die Fälle kann ich das auch weiterhin manuell machen. CSR und Key zu erstellen ist ja nu wirklich nicht das schwierigste. :D
     
  4. Till

    Till Administrator

    Ich würde das in solchen Fällen auch manuell machen. Denn wenn ispconfig einen neuen csr und key für die seite austellen würde, dann würde das ssl cert der seite auch ungültig da der key schon getauscht ist. Und das als "separaten" prozess im interface zu implementieren halte ich für einen solchen Sonderfall übermäßig kompliziert, das würde die meisten user nur verwirren wenn es auf einmal 2 ssl keys und csr's gibt. Die User verstehen auch so schon oft genug nicht wie ssl funktioniert und warum es da 3 -4 Dateien gibt.
     
  5. Blackbit

    Blackbit New Member

    Völlig einleuchtend. :)
     
  6. Hirbod

    Hirbod Member

    Was ich jedoch super finden würde, wenn man Pro User angeben könnte, wann das SSL Zertifikat abläuft und ggf. im Dashboard darauf hinweist, wann ein SSL Zertifikat abläuft. Aktuell benachrichtigt mich mein SSL Cert per E-Mail, aber das macht nicht jede Zertifizierungsstelle
     
  7. Blackbit

    Blackbit New Member

    Das geht super mit Nagios ;-)
     
  8. sanchez

    sanchez Member

    Nagios wäre natürlich ideal, aber vielleicht tut es ja auch die ohnehin verfügbare Funktion ssl-cert-check. Man müsste die nur richtig einstellen, sprich die Domains in eine Datei schreiben lassen, die dann in einem bestimmten Intervall von ssl-cert-check als eigenständiger Cronjob herangezogen werden kann. Näheres auch im Bugtracker: FS#3559 - Show validation status of SSL certificates and send a warning, if a certificate is about to expire
     
  9. florian030

    florian030 Member

    Ich habe ein Script, dass Du als Cronjob oder per cron_daily.php laufen lassen kannst und analog zu den quota-Mails entsprechende Warnungen verschickt - zumindest wenn Du ein Single-Server-Setup hast oder der Web-Server selber Mails verschicken kann.
    Ich werde das mal in einen passenden Zustand bringen und denn veröffentlichen. Für die 3.1 geht das als Plugin, einen Backport wird es von mir dafür aber nicht geben.
     
  10. florian030

    florian030 Member

  11. sanchez

    sanchez Member

    Ich hatte mal einen Dienst gefunden, da konnte man seinen öffentlichen Schlüssel importieren und dann wurde daraus das Ablaufdatum extrahiert und in eine Datenbank eingetragen. Da die Zertifikate meist auch eine E-Mail Adresse enthalten, wurde dann kurz vor Ablauf eine E-Mail an die im Zertifikat hinterlegte E-Mail Adresse verschickt mit der Info, dass das Zertifikat bald ausläuft.

    Leider finde ich diese Seite nicht mehr. Es ist auch schon etwas länger her. Sowas fände ich nämlich auch nicht schlecht. Zumindest solange das nicht fest mit ISPConfig verankert ist, wo es aber sowieso nur eine optionale Funktion ist und nichts, was dringend gebraucht wird und daher eher weit unten auf der To-Do Liste.

    Glücklicherweise verschickt StartSSL unabhängig davon 14 Tage bevor das Zertifikat ausläuft eine entsprechende Benachrichtigung. Es gibt hier aber einige Fälle, wo ich die Information etwas früher oder auch später erhalten möchte.

    Also, wenn jemand da so eine Seite kennt, über einen Tipp wäre ich dankbar.
     

Diese Seite empfehlen