SSL/TLS-Zertifikatanbieter

Eigentlich sollte das funktionieren (werden wir bei Gelegenheit mal testen).

Es sollte genügen, folgenden SQL-Befehl in der LiveConfig-Datenbank auszuführen:

INSERT INTO SSLPROVIDERS (SP_NAME, SP_LOGO, SP_MODULE, SP_DESCRIPTION, SP_DATA) VALUES ("BuyPass.com", "logo-letsencrypt.svg", "ssl-letsencrypt", "Free domain-validated Buypass Go SSL certificates", "https://api.buypass.com/acme/directory");

bzw. für die Test-Umgebung von Buypass:

INSERT INTO SSLPROVIDERS (SP_NAME, SP_LOGO, SP_MODULE, SP_DESCRIPTION, SP_DATA) VALUES ("BuyPass.com TEST", "logo-letsencrypt.svg", "ssl-letsencrypt", "Free domain-validated Buypass Go SSL certificates - TEST ENVIRONMENT", "https://api.test4.buypass.no/acme/directory");

Wildcard steht auf unserer ToDo-Liste (genauer Zeitpunkt steht aber noch nicht fest).

Viele Grüße

-Klaus Keppler

[UPDATE] Es muss zwingend ein Logo (SP_LOGO) hinterlegt werden, ansonsten zerschießt das in LiveConfig 2.9.x die Darstellung. In v2.10.x kann man auch einen Anbieter ohne Logo hinterlegen.

Ich habe das eben mal getestet. Unser ACMEv2-Client hatte noch ein Problem in der Kommunikation mit Buypass CA, ist in v2.10 dann behoben.

Ist es auch möglich nach folgendem Verfahren siehe unten diesen als Acme Zertifikatsanbeiter in Liveconfig einzupflegen?

Das würde uns die interne zertifizierung ungemein erleichtern.

acme.sh

Auf dem Server richtet man dann einen dedizierten Nutzer ein (Name beliebig), in dessen HOME-Verzeichnis anschließend acme.sh installiert und verwendet wird wie folgt:

Zitat

adduser acmeuser
su - acmeuser
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m e-mail-adresse
exit

Alles anzeigen

Zum Einlesen der geänderten rc-Dateien wird der Nutzer erneut eingeloggt, der Default-CA-Server wird gesetzt, der EAB-Account registriert (Nebenprodukt ACCOUNT_THUMBPRINT) und ein Zertifikat angefordert:

Zitat

su - acmeuser
acme.sh --set-default-ca --server 'server-url'
acme.sh --register-account --server 'server-url' --eab-kid 'key-id' --eab-hmac-key 'hmac-key'
acme.sh --issue -d fqdn1 --stateless

Im Default werden die Zertifikatsdateien dann im Unterordner ~/.acme.sh/fqdn1/ abgelegt und müssen noch an die von der Anwendung benötigte Stelle kopiert werden. Als acmeuser' kann man mit crontab -l den ggf. schon von acme.sh eingerichteten Renewal-Eintrag sehen und anpassen bzw. um ein Deployment ergänzen.

Dabei bedeuten:

• key-id = die vom IT-Portal ausgegebene (kürzere) Key-ID
• hmac-key = der vom IT-Portal ausgegebene (längere) HMAC-Key
• e-mail-adresse = die E-Mail-Adresse, an die der CertBot seine Informationen sendet

Nach erfolgreicher Registrierung werden Key-ID und HMAC-Key vom ACME-Server gelöscht und können nicht mehr verwendet werden.

Wenn eine ACME-ID auf mehreren Servern eingesetzt werden soll, kann aber das CertBot-Verzeichnis /etc/letsencrypt auf die weiteren Server kopiert werden.

Hallo,

ich bin heute auch auf diesen Anbieter aufmerksam geworden und finde es als Fallback / Alternative für Let's Encrypt sehr gut. Doch leider scheint LiveConfig nicht so ganz damit zurecht zu kommen. Mit dem ersten angeforderten Cert kommen Log-Einträge:

[2024/11/11 07:42:35.649028] [39081|39090] Invalid date: ''

Die Domain bleibt auf "Pending"...