wäre auf jedenfall eine schöne alternative zu letsencrypt
Beiträge von Stricted
-
-
Der Liveconfig Server will bei mir nach dem Upgrade nicht neu starten:
Jemand eine Idee woran das liegen kann?
wir können nun wildrumraten oder wir schauen mal ins log
was steht denn in /var/log/liveconfig/liveconfig.log drinnen? -
Oh, vielen dank für den Link
bitte
Wie kann das sein? Ich habe ganz regulär über LC ein neues SSL-Zertifikat angelegt. Und dann die Logs verfolgt. Der erste Eintrag war ja dann auch dieser hier, ohne nähere Erläuterung:Code[2016/01/07 13:31:00.127821] [14905|26647] ACME: can't get certificate for 'gebirgsfest.de':Irgendwie muss der sich da ja verrennen. Ich habe gerade auch keine Idee welcher Spur ich wo folgen könnte.
was seltsam ist das absolut nichts dahinter steht warum
immerhim steht ja wenn das limit greift dort "Error creating new cert :: Too many certificates already issued for: gebirgsfest.de"ich schätze das hier ein fehler im ACME client von LiveConfig vorliegt?
-
Für diese Domain wurde noch nie ein Zertifikat angelegt und ich dürfte somit nicht im Limit sein. Mit einer anderen Domain habe ich das selbe Problem.das stimmt so nicht
es wurden heute von LE 5 zertifikate für diese domain ausgestellt
https://crt.sh/?Identity=%25gebirgsfest.de%25&iCAID=7395 -
ich stelle hierzu mal hiermit einen einstellunswunsch für LC
unter nginx ist da leider nichts mit .htaccess anlegen, daher wäre es sicher nicht verkehrt wenn man direkt in LC ordner optionen anlegen kann
sprich so wie "Passwort-geschützte Verzeichnisse" nur für "datein in folgenden ordnern anzeigen" -
eben, das dauert noch eine Weile, die Unterstützung durch LC würde also nur Leuten helfen, die z.B. selbst kompilieren (oder vielleicht mit Gentoo?)
wenn es aber dann soweit ist, wäre es schonmal in LC drinnen
und über die versionsnummern kann ja herausfinden ob entsprechende apache/nginx version http2 kann
-
Unter anderem kann nun optional ein neues Let's Encrypt-Zertifikat automatisch aktiviert werden sowie optional eine Weiterleitung von HTTP auf HTTPS automatisch eingerichtet werden.
gerade mal getestet, gefällt mir
wenn jetzt noch beim nginx das problem behoben wird das alte fastcgi prozesse nicht beendet werden bin ich glücklich und bereit mein system auf liveconfig umzustellen -
nginx kann es ab version 1.9.5 https://www.nginx.com/blog/nginx-1-9-5/
daher +1 von mir für die umsetzung -
nun kann man ja einstellbar gestalten
-
würde mich auch interessieren, hier allerings für nginx
wäre schön wenn man das direkt bei den domains unter ssl einschalten könnte (für eine domain brauche ich den preload und includeSubdomains flag da ich auf der chrome preload list stehe)
-
Außerdem sollte die Weiterleitung von HTTP auf HTTPS leichter einstellbar sein - aktuell muss man die komplette URL manuell eintragen für die Weiterleitung, da wäre eine Checkbox viel bequemer...+1 auch dafür
-
würde ich auch sehr begrüßen
-
Ich sehe es als wichtig an, gerade sicherheitsreleavante Features auch in der Basiclizenz mit freizugeben. Es gibt genug Nutzer die die Funktionen der Standard- etc. Lizenzen nicht benötigen, da sie ihre eigenen Sachen hosten. Es ist weder ein Programmier- noch ein erhöhter Support-Aufwand wenn es in der Basiclizenz enthalten ist, da Support ja ohnehin hier im Forum läuft.
Für mich ist die Freigabe in der Basiclizenz ein NoGo!
was denn nun?
du wiedersprichst dir irgendwie selber -
Hallo,
Das verstehe ich aber nicht wirklich. Für diese Domain sind vor drei Tagen 4 Sub-Domain-Zertifikate erstellt wurden.damit bist du genau im limit
zitat https://www.liveconfig.com/wik…#liveconfig-let-s-encryptZitatAlles anzeigen
Zertifikate pro Domain
Derzeit dürfen pro 7 Tage maximal 5 Zertifikate für die selbe Domain ausgestellt werden. Dabei zählen auch Subdomains zu der selben Domain!
Beispiel: wenn Sie im Laufe der Zeit für folgende Domains SSL-Zertifikate beantragen, dann zählt das am Ende als 4 Zertifikate für die Domain example.org:
example.org und http://www.example.org
office.example.org
http://www.example.org
example.orgdieses limit wurde mit der open beta NICHT aufgehoben
-
da ich kein xenforo benutze kann ich dir da nicht helfen, ich kann dir aber mal die regeln geben die ich für ein wbb4 verwendet habe
ZitatAlles anzeigen
# Return static files directly if they exists
if (-f $request_filename) {
break;
}if (-e $request_filename) {
break;
}if ($request_uri !~ .*index\.php.*) {
rewrite ^/acp/(.*) /acp/index.php/$1 break;
rewrite ^/(.*) /index.php/$1 break;
}
sind zwar nicht die besten, aber sie funktionieren (diese sind bei mir außerhalb des location blocks definiert) -
sicher, nur muss man alles direkt in den vhost schreiben (bzw. bei liveconfig in ~/conf/nginx.conf) da man nicht sowas wie .htaccess hat
-
hört sich gut an, danke
edit: grade mal getestet, funktioniert perfekt
-
hatte ich als erstes getestet, über "/etc/nginx/fastcgi_params" ist $_SERVER['path_info'] leer oder nicht existent daher auch die änderung direkt am vhost
p.s. man beachte auch die änderung bei try_files
EDIT: man beachte auch das bei ocation ~ \\.php { das "$" am ende entfernt ist, das ist wichtig denn nur so habe ich das ganze überhaupt erst zum laufen gebracht, ich werde es aber später nocheinmal mit den änderungen in "fastcgi_params" testen
-
leider gibts unter nginx noch ein problem
woran es genau hakt kann ich nicht sagen aber mit ist aufgefallen das hin und wieder dashier in der web#.conf fehltZitatAlles anzeigen
location ~ ^/.well-known/acme-challenge/(.*)$ {
internal;
default_type text/plain;
root /var/www/web1/conf/acme;
rewrite ^/.well-known/acme-challenge/(.*)$ /$1 break;
}
mir wurden jetzt ein paar zertifikate abgelehnt weil der webserver ein 404 zurückgeworfen hat
die web1.conf sieht so ausZitatAlles anzeigen
server {
listen xx.xxx.xxx.xxx:80;
listen [xxxx:xxxx:x:xxxx::xxx]:80;
server_name domain.de
lctest.ssl.domain2.eu
domain3.de
http://www.domain.de
http://www.lctest.ssl.domain2.eu
http://www.domain3.de;
rewrite ^(/.well-known/acme-challenge/yuzsmWXr0JKI2eMobS5DAtyLxxt4abq7eL0xorGGVh0)$ $1 break;rewrite ^(/.well-known/acme-challenge/Kcq_ljCgo52Z2ao5gZQXE3D-CKJPtYEd8LHIIQI7e94)$ $1 break;
root "/var/www/web1/htdocs/";
disable_symlinks if_not_owner;
ssi on;# Include customer-specific configuration options:
include /var/www/web1/conf/nginx.conf;location ~ /\.ht {
deny all;
}location ~ ^/cgi-bin/ {
deny all;
}# PHP is enabled
index index.php index.html index.htm;
location ~ \.php {
fastcgi_split_path_info ^(.+.php)(/.+)$;
try_files $fastcgi_script_name =404;# Bypass the fact that try_files resets $fastcgi_path_info
# see: http://trac.nginx.org/nginx/ticket/321
set $path_info $fastcgi_path_info;
fastcgi_param PATH_INFO $path_info;fastcgi_index index.php;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_pass unix:/var/www/web1/conf/sockets/nginx-php-fcgi.php70.sock;
}location = / {
error_page 403 /.errorFiles/coming-soon.html;
}
location /.errorFiles/ {
alias /usr/share/liveconfig/html/;
}
} -
danke für die schnelle antwort, es ging mir auch nur um den ernstfall das wenn der private schlüssel mal in fremde hände fällt
