Server Zertifikat

  • Hallo Zusammen,


    ich würde gerne LE auch zur Sicherung des Servers selbst (also server1.host.de) verwenden. Wenn ich jedoch den Hostname im ACME angebe, sagt LC, dass der Domainname nicht gefunden wurde (vermutlich weil kein Vertrag + Domain dazu angelegt ist).


    Wie wäre hier das richtige vorgehen? Generell wäre es ja gerade auch für den LC Login schön mit LE zu arbeiten.


    Vg,
    Patrick Kambach

  • Einfachste Lösung ist, als "admin" unter "Mein Hosting" einen Vertrag anzulegen und diesem die Domain "server1.host.de" zuzuordnen - dann kann ein SSL-Zertifikat via Let's Encrypt beantragt werden.
    LE macht einen HTTP-Zugriff zur Authentifizierung, daher braucht man derzeit zwangsweise einen Webspace. Eine Authentifizierung per DNS ist zwar schon spezifiziert, wird von LE aktuell aber noch nicht angeboten.


    Was LiveConfig betrifft: aktuell kann das Zertifikat für LiveConfig nur "von Hand" verwaltet werden (default: /etc/liveconfig/sslcert.pem) - wir planen aber das auch über die LC-Oberfläche verwaltbar zu machen und somit auch Let's Encrypt nutzen zu können (sonst müsste man das ja alle 90 Tage von Hand austauschen...)

  • Hallo Herr Keppler,


    vielen Dank, das hatte ich gerade versucht und es hat nicht geklappt :) Der Server, um den es hier geht, ist ein "Slave" - d.h. da läuft nur der "lcclient". Das Webspace-Paket ist dem Server richtig zugeordnet und die Domain kann ich auch aufrufen.


    Jedoch war die Validierung nicht möglich; laut Logdatei konnte die Config für LE nicht angelegt werden:



    Viele Grüße,
    Patrick Kambach

  • Ok, auf dem Server ist vermutlich kein PHP installiert. Das führt dazu, dass LiveConfig das Verzeichnis ~/conf/ nicht anlegt, während der ACME-Code davon ausgeht dass das existiert.
    Werden wir gleich beheben.


    Workaround bis dahin: legen Sie das Verzeichnis ~conf/ manuell an (mode=0755, owner=root:root) und starten erneut eine Authentifizierung (einfach das angelegte SSL-Zertifikat noch mal erneut speichern).


    Viele Grüße


    -Klaus Keppler

  • Hallo Herr Keppler,


    okay, damit klappt es dann. PHP ist auf dem System installiert, war aber nicht beim Webspace aktiviert. Ein nachträgliches aktivieren hat auch nicht geholfen:


    Code
    [2015/11/24 11:49:37.144074] [42838|42839] [LUA] LC.exec(/usr/sbin/a2ensite web0.conf): program output: Site web0 already enabled
    [2015/11/24 11:49:47.243094] [42838|42841] [LUA] LC.exec(/etc/init.d/apache2 reload): program output: Reloading apache2 configuration (via systemctl): apache2.service failed!
    [2015/11/24 11:49:47.243145] [42838|42841] [LUA] LC.exec(/etc/init.d/apache2 reload): error output: Job for apache2.service failed. See 'systemctl status apache2.service' and 'journalctl -xn' for details.
    [2015/11/24 11:49:47.243166] [42838|42841] [LUA] LC.exec(/etc/init.d/apache2 reload): exited with return code 1


    Und dann:



    Vg,
    Patrick Kambach

  • Einfachste Lösung ist, als "admin" unter "Mein Hosting" einen Vertrag anzulegen und diesem die Domain "server1.host.de" zuzuordnen - dann kann ein SSL-Zertifikat via Let's Encrypt beantragt werden.
    LE macht einen HTTP-Zugriff zur Authentifizierung, daher braucht man derzeit zwangsweise einen Webspace. Eine Authentifizierung per DNS ist zwar schon spezifiziert, wird von LE aktuell aber noch nicht angeboten.


    I have a question regarding this written above,
    on my liveconfig server(business license) is installed only liveconfig, postfix, dovecot,..... ie. liveconfig and mail service complete, meaning no Web service at all,


    My question relates to the LE, whether in such server, can install and configure SSL with LE.
    SSL for accessing liveconfig web panel.


    above that I have read claim that at the opening of the subscription, subscription must runs on a web service.


    My web services unrelated with liveconfig, They are centered on lcclient1 and lcclient2.


    1.liveconfig(mail services) - business license
    2.lcclient(nginx,php,mysql,...) - standard license
    3.lcclient(apache,php,mysql,...) - standard license


    all three server are in different DataCenters.


    certificate for liveconfig panel access expires in few days and it would be very good if I don't have to renew it, and spend my money on it, ie. if I can set access to liveconfig over LE/SSL-a.


    Mr Keppler, if you have any idea, or reply to this what is written above, please reply as soon as possible


    best regards,


  • Was LiveConfig betrifft: aktuell kann das Zertifikat für LiveConfig nur "von Hand" verwaltet werden (default: /etc/liveconfig/sslcert.pem) - wir planen aber das auch über die LC-Oberfläche verwaltbar zu machen und somit auch Let's Encrypt nutzen zu können (sonst müsste man das ja alle 90 Tage von Hand austauschen...)


    Hallo Herr Keppler,


    gibt es dazu schon was neues bzw. eine Lösung?

  • Hey... wäre langsam mal toll wenn man das Server Zertifikat auch automatisch erneuern könnte damit...


    LiveConfig normal auf :8443 laufen lassen, zusätzlich aber eine Domain (z.B. config.example.com) im Webspace via LiveConfig erstellen. Weiterleitungs-Typ Proxy, Ziel: "https://localhost:8443".


    Für "config.example.com" bekommt man ganz normal Zertifikate.

  • Ja, Anton, dann hat man aber das Problem, wenn ein Passwort-Reset angefordert wird, dass sich dann in der Passwort-Reset-Mail ein Link zum LC mit Port 8443 befindet...


    lässt sich ebenfalls beeinflussen
    hier mal der auszug aus meiner liveconfig.conf

    Code
    http_proxy_ip_from = 127.0.0.1,::1
    http_proxy_ip_header = X-Real-IP
    http_proxy_url = https://lc.meine-domain.net


    dann passt auch die url in den mails

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!