Beiträge von kk

Ja, der ist auch behoben - wurde nur versehentlich nicht ins Changelog auf die Website übernommen. Ich kümmere mich gleich darum.

Zitat

Cron-Jobs wurden nicht wieder aktiviert nachdem ein gesperrter Vertrag wieder aktiviert wurde

Haben Sie die neueste Version von "lc-sso.php" installiert? (6067b89 vom 18.10.)
Die o.g. Fehlermeldung tritt auf, wenn ein Ajax-Request vom Browser an LiveConfig nicht ausgeführt werden kann - in der aktuellsten Version sollte die Fehlermeldung eigentlich etwas aussagekräftiger sein.
Zudem: welchen Browser nutzen Sie? Läuft der Browser im "privaten Modus"?

Ansonsten schicken Sie uns bitte mal Test-Zugangsdaten (LiveConfig) an support@liveconfig.com, dann schauen wir uns das mal an.

Unter https://demo.liveconfig.com (admin/admin) haben wir eine Demo eingerichtet.

Viele Grüße

-Klaus Keppler

Hello,

LiveConfig version 2.5.0 is now available!
The most important new features are:

• supporting HTTP/2 with Apache and NGINX
• ECDSA are supported - also with Let's Encrypt
• Single Sign-On to phpMyAdmin (siehe GitHub)
• supporting CAA records in DNS

... as well as many minor improvements. For a full list of all changes see the changelog.

Currently we're mainly working on "lcpolicyd" (configuration via GUI) and on backup/restore of subscriptions. As soon as there are any news, we'll publish them in the forum.

Best regards

-Klaus Keppler

Hallo,

ab sofort steht LiveConfig in der Version 2.5.0 bereit.
Die wichtigsten neuen Funktionen sind:

• Unterstützung von HTTP/2 mit Apache und NGINX
• ECDSA-Zertifikate werden unterstützt - auch mit Let's Encrypt
• Single Sign-On an phpMyAdmin (siehe GitHub)
• Unterstützung von CAA-Records im DNS

... sowie viele weitere Verbesserungen. Die vollständige Liste aller Änderungen steht wie immer im Changelog.

Derzeit arbeiten wir hauptsächlich am Thema "lcpolicyd" (Konfiguration über die GUI) sowie am Backup/Restore von Verträgen. Sobald es hier Neuigkeiten gibt, werden wir das im Forum melden.

Viele Grüße

-Klaus Keppler

Hello,

our PHP packages for Debian/Ubuntu have been updated to version 7.0.25 and 7.1.11

Best regards

-Klaus Keppler

Hallo,

die PHP-Pakete für Debian/Ubuntu wurden eben auf die Version 7.0.25 und 7.1.11 aktualisiert.

Viele Grüße

-Klaus Keppler

Die Beschreibung ist leider recht vage - schicken Sie uns bitte ggf. mal einen Screenshot an support@liveconfig.com

Let's-Encrypt-Zertifikate können ja nur dann angelegt werden, wenn man die Berechtigung für die SSL-Verwaltung hat. Ich tippe daher darauf, dass Sie die LE-Zertifikate als "admin" angelegt und dem Kunden zugewiesen haben?
In dem Fall braucht der Kunde gar keine Berechtigung für die SSL-Verwaltung - er kann unter "Hosting" -> "Domains" direkt beim Webspace HTTPS aktivieren und die ihm zugeordneten Zertifikate auswählen.

(Voraussetzungen: SSL (HTTPS) muss im Vertrag aktiviert sein und in der IP-Gruppe (Serververwaltung -> Web) muss HTTPS/SSL aktiviert sein)

PS: die gesamte SSL-Verwaltung wird Anfang 2018 (mit ACME v2) deutlich vereinfacht werden.

Zitat von t.maffert

Bekomm dann immer folgendes: PHP Fatal error: Cannot use object of type stdClass as array in /root/testo.php on line 53

[...]

Code

object(stdClass)#2 (1) {
  ['customers'] => object(stdClass)#3 (1) {
    ['CustomerDetails'] => object(stdClass)#4 (7) {
            ['id'] => string(12) "cAsaMQdGmVAy"
[...]

Das "Problem" ist, dass PHP das Objekt "customers" in diesem Fall nicht als Array, sondern als einfaches Objekt interpretiert. Daher schlägt der Zugriff via "customers[0]" dann fehl.
Eine mögliche Lösung wäre, einen expliziten Typecast zu machen:

$response->customers = array($response->customers);

Wenn die Suche (via CustomerGet) so ausgeführt wird dass es nur einen Ergebnisdatensatz geben kann, dann kann man theoretisch auch direkt auf das customers-Objekt zugreifen (also ohne "[0]") - finde ich persönlich aber nicht sehr sauber.

Zitat von Febas

Frage aus Neugier: Was genau wurde denn geändert, dass nun 50x weniger I/O entsteht?

Bislang war es so, dass lclogsplit nur eine kleine, fest definierte Anzahl an (Ziel-)Log-Dateien gleichzeitig geöffnet gehalten hat. Dieser Dateideskriptor-Puffer wurde nach dem FIFO-Prinzip genutzt.
Nun liest lclogsplit aus dem Betriebssystem die maximal erlaubte Anzahl gleichzeitig geöffneter Dateien aus (quasi "ulimit -n"), deckelt diesen Wert auf maximal 256, und erlaubt entsprechend viele offene Ziel-Dateien. Der Overhead durch das öffnen/flushen/schließen wird somit drastisch reduziert.
Aufgefallen war der Flaschenhals bei Tests, als die Verarbeitung einer 10 GB großen Logdatei etwa eine Minute gedauert hatte. Nach der Änderung waren das nur noch wenige Sekunden.

Zitat von kk

Merkwürdig, hier klappt alles einwandfrei. Welche Distribution und welches Datenbank-Backend (SQLite/MySQL) nutzen Sie?

Hat sich erledigt - ist vermutlich mit MySQL als DB-Backend, da gibt es noch einen (bekannten) Fehler.
(der CAA-Record hat den Typ 257, im entsprechenden Feld können aber nur "unsigned char"-Werte gespeichert werden). Wird kurzfristig noch geändert.

Die Preview für LiveConfig 2.5.0 wurde eben aktualisiert (r4728).

Neue Features & Verbesserungen:

• Unterstützung von Single Sign-On an phpMyAdmin
• Unterstützung von PHP7 als Apache-Modul (mod_php7)
• Performance des Logsplit-Programms (lclogsplit) verbessert (50x weniger I/O)
• Autoresponder sendet keine Antwort, wenn die Nachricht als SPAM markiert wurde (betrifft nur neue und aktualisierte Postfächer)
• Zeitzonen-Datenbank auf Version 2017b aktualisiert

Bugfixes:

• Let's Encrypt-Zertifikate konnten nicht mit Subdomains bestellt werden, die als Reverse Proxy konfiguriert waren (Apache)
• Doppelte Einträge aus /etc/apache2/accesslog.map entfernt
• über Port 465 (SMTPS) eingereichte E-Mails wurden von lclogparse nicht gezählt
• Postfach-Statistiken (maildirsize) mit Postfächern >2GB funktionierten nicht auf 32-Bit-Sytemen

Viele Grüße

-Klaus Keppler

Zitat von TCRserver

Ein weiteres Problem scheinen bei mir die CAA Records zu verursachen.
Nach dem ausfüllen und speichern des Formulars wird die GUI leer wieder angezeigt.

Merkwürdig, hier klappt alles einwandfrei. Welche Distribution und welches Datenbank-Backend (SQLite/MySQL) nutzen Sie?

Am einfachsten ist es wirklich für HSTS den gewünschten Header per .htaccess senden zu lassen.
Besteht denn Bedarf, das auch über GUI einzurichten?

Das Problem ist: wenn jemand HSTS irrtümlicherweise aktiviert (oder zu "Testzwecken"), dabei aber eine lange Gültigkeit eingestellt hat (empfohlen wird ja ~1 Jahr), ist die Domain anschließend möglicherweise "unbrauchbar" falls HTTPS doch nicht klappt. Mit anderen Worten: man sollte wissen, was man tut, wenn man HSTS aktiviert. Und wer das weiß, der ist i.d.R. auch in der Lage, eine .htaccess-Datei zu erstellen.

HPKP ist vermutlich eh tot - spannender ist da DANE/TLSA (zusammen mit DNSSEC). Hier ist ein Hauptproblem aber der Roll-Over, wenn sich mal der Schlüssel des Zertifikats ändert. Auch da gilt: wer weiß was er tut, kann das per "eigene DNS-Einträge" schon heute im LiveConfig anlegen (die Hashes dazu berechnet unser SSL-Check).

Ja, die kommt noch dieses Jahr (der technische Teil ist schon fertig, nur GUI muss noch angepasst werden).

Ja, immer noch offen.
Wenn wir das SAN-Feld parsen und dort den erstbesten Domainnamen daraus verwenden, wird es GARANTIERT die nächsten Beschwerden geben, warum denn nicht der zweite Name / ein wählbarer Name / alle Namen / ein frei einstellbarer Name / oder was-auch-immer angezeigt wird.

Man kann inzwischen in der SSL-Verwaltung zu jedem Zertifikat einen Kommentar hinterlegen, der bei einer eindeutigen Zuordnung hilft.
Wir lassen den Feature Request mal offen, bislang ist mir aber kein zweiter Kunde bekannt, der damit ein Problem hat.

[EDIT] zumal Multi-Domain-Zertifikate in Zeiten von Let's Encrypt ohnehin an Bedeutung verlieren dürften - da holt man sich im Zweifelsfall separate Zertifikate...

Zitat von kroerig

Wieso? Bei den "großen" ist das normal. Pro Vertrag gibt es ein kostenloses SSL-Zert. Egal wieviel Domains der Kunde darin hat.

In dem Fall von Symantec.

Kennen Sie die Konditionen von Symantec für deren kostenlose Zertifikate?
(die Konditionen erklären nämlich, warum die Anbieter das limitieren "müssen")

Wenn Sie das limitieren möchten, dann müssten Sie das so handhaben dass Ihre Kunden nur eine begrenzte Anzahl kostenloser Zertifikate über Ihren Support "bestellen" können - und Sie legen diese dann eben im LiveConfig als "admin" an.
Da SSL (HTTPS) aber gerade auf dem Weg zum De-Facto-Standard ist, dürfte es nur eine Frage der Zeit sein bis man sich durch so eine Limitierung gegenüber seinen Wettbewerbern selbst benachteiligt.

Zitat von kroerig

wie kann ich meinen Kunden ermöglichen LE Zertifikate zu verwenden, ohne ihnen direkt die ganz Zertifikatsverwaltung freigeben zu müssen?

Das ist nicht möglich - irgendwo muss der Vorgang der Zertifikatsbestellung ja verwaltet werden.
Alternativ können Sie höchstens als "admin" Let's-Encrypt-Zertifikate anlegen und die (automatisch) dem jeweiligen Kunden zuordnen - dann kann der Kunde die verwenden, hat aber keinen Zugriff auf die Zertifikate selbst.

Anfang kommenden Jahres gibt es ein neues Protokoll für die automatisierte Zertifikatsverwaltung (ACME v2), womit Let's Encrypt dann u.a. auch Wildcard-Zertifikate ermöglicht. Wir planen in diesem Zuge auch die SSL-Verwaltung deutlich einfacher zu gestalten, so dass ein Kunde dann letztendlich nur noch die Verschlüsselung per Checkbox aktivieren/deaktivieren braucht - um den Rest kümmert sich LiveConfig völlig transparent.

Zitat

Und ich würde auch gerne die Anzahl der Zertifikate, die ein Kunde nutzen darf einstellen können.

So etwas ist bislang nicht vorgesehen und wohl auch eher "exotisch".

Ändern Sie die Pfade erst in /usr/lib/liveconfig/lua/custom.lua ab und starten LiveConfig anschließend neu.
Danach bearbeiten Sie eine beliebige php.ini-Einstellung (Hosting -> PHP-Einstellungen) - z.B. setzen Sie "expose_php" auf "Ja" und dann wieder auf "nein" und speichern das ab.
Klicken Sie dann ganz unten auf den Button "Änderungen anwenden...". Damit werden alle PHP-Einstellungen (php.ini, FastCGI-Starter usw.) neu geschrieben und somit auch die neuen Pfade verwendet.

posix, sysvmsg, sysvsem, sysvshm
"Normale" Webanwendungen sollten solche Funktionen nicht brauchen, beim Shared Hosting kann man den Host dadurch kinderleicht in die Knie zwingen (lokaler DoS).

Zitat von Ringelnatz

Vielleicht lässt sich das ja irgendwie reproduzieren, ansonsten gebe ich gerne weitere Infos. Eingesetzt wird die aktuelle LiveConfig-Version auf Debian Stretch.

Ich kann das leider nicht reproduzieren (Debian 9).
Es gibt aber einen aktuellen Bugfix (ist in der Preview bereits berücksichtigt), da Passwörter in bestimmten Fällen falsch entschlüsselt wurden (da wurde dann ein "x" angefügt). Verwenden Sie testweise mal ein Passwort das ein Zeichen kürzer ist (z.B. also 39 statt 40 Zeichen).