SSL/TLS-Zertifikatanbieter

  • Hallo,


    Ich wollte mal fragen ob es bei Liveconfig aktuell möglich ist auch Andere SSL/TLS-Zertifikatanbieter einzutragen.


    Aktuell ist ja nur für neue Zugänge Let´s Encrypt selbst verfügbar..


    Es gibt aber noch Andere CA´s die Zertifikate von Let´sEncrypt anbieten mit einer laufzeit von 180 Tagen und da würde ich gern auf diese Anbieter umstellen..


    Der gemeinte anbieter ist BuyPass.com CA


    per Acme.sh Script ist dieser bereits nutzbar und der BuyPass.com ist auch bereits auf die API von Acme-v2 umgestellt.


    Hier ein Wiki beitrag zum Acme.sh Bereich für BuyPass.com https://github.com/acmesh-offi…me.sh/wiki/BuyPass.com-CA


    Würde mich freuen wenn man die möglichkeit auch bekommt andere SSL/TLS-Zertifikatanbieter hinzu zufügen.


    und Dass dann auch die Möglichkeit gegeben wird per z.b. Acme-DNS auch wildcard zertifikate oder dierekt über die Internen Nameserver die Zertifikate anzufordern.


    MFG

  • Eigentlich sollte das funktionieren (werden wir bei Gelegenheit mal testen).


    Es sollte genügen, folgenden SQL-Befehl in der LiveConfig-Datenbank auszuführen:


    SQL
    INSERT INTO SSLPROVIDERS (SP_NAME, SP_LOGO, SP_MODULE, SP_DESCRIPTION, SP_DATA) VALUES ("BuyPass.com", "logo-letsencrypt.svg", "ssl-letsencrypt", "Free domain-validated Buypass Go SSL certificates", "https://api.buypass.com/acme/directory");


    bzw. für die Test-Umgebung von Buypass:


    SQL
    INSERT INTO SSLPROVIDERS (SP_NAME, SP_LOGO, SP_MODULE, SP_DESCRIPTION, SP_DATA) VALUES ("BuyPass.com TEST", "logo-letsencrypt.svg", "ssl-letsencrypt", "Free domain-validated Buypass Go SSL certificates - TEST ENVIRONMENT", "https://api.test4.buypass.no/acme/directory");


    Wildcard steht auf unserer ToDo-Liste (genauer Zeitpunkt steht aber noch nicht fest).


    Viele Grüße


    -Klaus Keppler


    [UPDATE] Es muss zwingend ein Logo (SP_LOGO) hinterlegt werden, ansonsten zerschießt das in LiveConfig 2.9.x die Darstellung. In v2.10.x kann man auch einen Anbieter ohne Logo hinterlegen.

  • Ist es auch möglich nach folgendem Verfahren siehe unten diesen als Acme Zertifikatsanbeiter in Liveconfig einzupflegen?

    Das würde uns die interne zertifizierung ungemein erleichtern.



    acme.sh

    Auf dem Server richtet man dann einen dedizierten Nutzer ein (Name beliebig), in dessen HOME-Verzeichnis anschließend acme.sh installiert und verwendet wird wie folgt:

    Zum Einlesen der geänderten rc-Dateien wird der Nutzer erneut eingeloggt, der Default-CA-Server wird gesetzt, der EAB-Account registriert (Nebenprodukt ACCOUNT_THUMBPRINT) und ein Zertifikat angefordert:

    Quote
    su - acmeuser
    acme.sh --set-default-ca --server 'server-url'
    acme.sh --register-account --server 'server-url' --eab-kid 'key-id' --eab-hmac-key 'hmac-key'
    acme.sh --issue -d fqdn1 --stateless

    Im Default werden die Zertifikatsdateien dann im Unterordner ~/.acme.sh/fqdn1/ abgelegt und müssen noch an die von der Anwendung benötigte Stelle kopiert werden. Als acmeuser' kann man mit crontab -l den ggf. schon von acme.sh eingerichteten Renewal-Eintrag sehen und anpassen bzw. um ein Deployment ergänzen.


    Dabei bedeuten:

    • key-id = die vom IT-Portal ausgegebene (kürzere) Key-ID
    • hmac-key = der vom IT-Portal ausgegebene (längere) HMAC-Key
    • e-mail-adresse = die E-Mail-Adresse, an die der CertBot seine Informationen sendet

    Nach erfolgreicher Registrierung werden Key-ID und HMAC-Key vom ACME-Server gelöscht und können nicht mehr verwendet werden.

    Wenn eine ACME-ID auf mehreren Servern eingesetzt werden soll, kann aber das CertBot-Verzeichnis /etc/letsencrypt auf die weiteren Server kopiert werden.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!