Zeige Ergebnis 1 bis 10 von 10

Thema: (Beta) Let's Encrypt Cert Helper (v38)

  1. #1
    STARFACE User

    Registriert seit
    19.11.2015
    Beiträge
    40

    Standard (Beta) Let's Encrypt Cert Helper (v38)

    Hallo liebe STARFACEler!

    Ich habe eine bequeme Möglichkeit gesucht, mittels Let's Encrypt ein grünes Schloss in die Adressleiste meiner STARFACE zu zaubern.
    Leider stellte sich der Prozess als nicht so toll™ heraus.

    Download
    Da man das Prozedere bei Let's Encrypt (LE) alle 90 Tage wiederholen muss, beschloss ich kurzerhand ein Modul zu schreiben:
    http://starface.janz-einfach.net/dok...s:let_sencrypt

    Known Issues
    In der aktuellen Version 38 (Beta 2) gibt es zwei große Probleme, die einen finalen Release verhindern:
    1. die STARFACE muss geupdated worden sein
    2. man muss die Zertifikate auf einer anderen Maschine austellen


    1. lässt sich leicht lösen: solange die STARFACE nie geupdated wurde, fehlt die "/opt/jetty/lib/org.mortbay.jetty.jar". In folge dessen kann das Modul auch keinen neuen Tomcat Keystore bauen. Sobald ich eventuelle Urheberrechtsansprüche geklärt habe, kann ich die JAR als Fallback bundlen.
    2. ist kniffliger. Der ACME Client hat diverse dependencies, die so in der STARFACE nicht erfüllt werden können. Hier muss ich mir was einfallen lassen, das nicht zu tief in CentOS herumpfutscht.

    Das Modul ist Quelloffen, über Feedback würde ich mich freuen.

    Screenshots
    Geändert von DerGerät (03.03.2016 um 18:12 Uhr) Grund: Bebilderung & Formatierung

  2. #2
    STARFACE User

    Registriert seit
    19.11.2015
    Beiträge
    40

    Standard

    (Reserviert)

  3. #3
    STARFACE User

    Registriert seit
    25.02.2014
    Beiträge
    11

    Standard

    Hallo Der Gerät,

    Idee finde ich super!
    Der ACME Client wäre noch fein, wenn der laufen würde.
    Hast du dir auch schon überlegt einen alternative Implementierung in Java oder Shell zu nehmen?

    Beide Projekte wurden von mir noch nicht getestet, von dem her ohne Gewähr.

  4. #4
    STARFACE User

    Registriert seit
    19.11.2015
    Beiträge
    40

    Standard

    Zitat Zitat von rproba Beitrag anzeigen
    Hallo Der Gerät,

    Idee finde ich super!
    Der ACME Client wäre noch fein, wenn der laufen würde.
    Hast du dir auch schon überlegt einen alternative Implementierung in Java oder Shell zu nehmen?

    Beide Projekte wurden von mir noch nicht getestet, von dem her ohne Gewähr.
    Hallo rproba,

    coole Sache! Das klingt doch direkt nach einem Sonntagsprojekt.

    EDIT
    Spiel, Spaß und Freude für die ganze Familie. Der Starface Webserver (tomcat) beantwortet HTTP-GET auf eine (unbekannte) Ressource ohne Dateierweiterung (index statt index.html) mit 404 und der Loginpage:
    Code:
    GET /.well-known/acme-challenge/F9yf1yt4Y1f498wogDHj0DAo8C1VMLjAJpNo9Gjqmaw HTTP/1.1
    Host: 192.168.40.2
    User-Agent: Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)
    Accept: */*
    Accept-Encoding: gzip
    X-Forwarded-Proto: http
    X-Forwarded-For: 66.133.109.36
    X-Forwarded-Host: /*redacted.domain.tld*/
    X-Forwarded-Server: /*redacted.domain.tld*/
    Connection: Keep-Alive
    
    HTTP/1.1 404 Not Found
    Server: Apache-Coyote/1.1
    Set-Cookie: JSESSIONID=/*redacted*/; Path=/; HttpOnly
    Content-Type: text/html;charset=UTF-8
    Content-Language: en
    Transfer-Encoding: chunked
    Date: Sun, 10 Apr 2016 10:49:06 GMT
    [...]
    Und ja, Datei und Pfad existieren. Wenn man ein .txt oder .html an den Dateinamen dranhängt, bekommt man die Datei im Browser angezeigt.
    Die http-01 Challenge sieht aber genau das vor.

    Was verbleibt also an Optionen:
    1. Tiefgreifende Änderung im Tomcat:
      Ein No-Go meiner Meinung nach.
    2. Zweiter Webserver für Port 80:
      Auch hier wieder: http-01 challenge ist nur über Port 80 möglich. Es kann nicht mehr als ein Daemon zeitgleich auf einem Port lauschen. Also hier wieder zwei Möglichkeiten:
      1. Tomcat stoppen:
        Kein Webinterface, keine Aufbau neuer Telefonate, eventuell laufende Tasks werden kalt abgebrochen. Mist.
      2. Zur Laufzeit den Port 80 via iptables umbiegen:
        Hier müsste ich trotzdem einen Webserver oder zumindest einen HTTP-Stack auf die Anlage mogeln, der meinetwegen auf Port 8080/tcp lauscht.
        Dann per iptables INPUT-Chain für die Laufzeit alle eingehenden Pakete für port 80 auf z.B. 8080 umleiten...


    Für mich ist keiner der Optionen viabel für den Produktivbetrieb. Zurück an's Whiteboard
    Geändert von DerGerät (10.04.2016 um 13:16 Uhr)

  5. #5
    STARFACE Admin

    Registriert seit
    04.03.2014
    Beiträge
    147

    Standard

    Ich schaue mir momentan den acme.sh Client an. Dieser hat der Vorteil, dass er nur eine Shell (und cURL/wget und OpenSSL) benötigt. Zudem kann er auch DNS-01 Challenge machen. Wenn also der DNS-Anbieter eine API anbietet, kann ein Plugin geschrieben werden. Mein DNS Anbieter ist schon drinnen. Der Vorteil liegt auf der Hand: Durch das DNS-01 Challenge muss die Maschine, die ein Cert anfordert, nicht direkt erreichbar sein (also auch kein Webserver laufen). Man kann Cert für sämtliche Subdomains anfordern, auch wenn kein A- oder CNAME Record eingetragen sind.

  6. #6
    STARFACE Admin

    Registriert seit
    04.03.2014
    Beiträge
    147

    Standard

    So, ich habs nun doch endlich geschafft, deswegen wird das Zeugs hier gelöscht. Den sauberen Thread findet sich hier:

    http://support.starface.de/forum/sho...9875#post29875
    Geändert von hyanak (16.02.2017 um 20:23 Uhr)

  7. #7
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    937

    Standard

    Richtig smart wäre es ja, wenn STARFACE das direkt einbauen würde.

    Bsp.: Unser Hosting-Provider bietet die Möglichkeit automatisiert für jede Domain die gehostet wird über "1Click" ein Zertifikat bei "Let's Encrypt" zu bestellen und verknüpft dieses dann auch gleich mit der Domain.

    Statt ein selbsigniertes Zertifikat zu erstellen, wäre es toll, wenn STARFACE eine Anbindung an "Let's Encrypt" realisieren würde
    STARFACE Certified Partner

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: briefkasten ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, STARFACE-Telefonanlagen, Managed Services, Security

  8. #8
    STARFACE User

    Registriert seit
    22.11.2016
    Ort
    Neuhausen a.d.F.
    Beiträge
    20

    Standard

    +1
    erst heute habe ich überlegt, wie ich ein let's encrypt Cert in die Starface rein bekomme. Einen einfachen Importknopf hätte ich mir gewünscht. Aber den gibt es leider nicht. :-/
    Anregung: Möglichkeit, ein externes Zertifikat zu importieren. Die meisten Programme die ich benutze, die Zertifikate verwenden, können das.

  9. #9
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.144

    Standard

    Nur mit einem Zertifikat ist es nicht getan. Der Server benötigt auch noch den Private Key. Und dieser könnte je nach Format auch noch verschlüsselt sein.
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  10. #10
    STARFACE Admin
    Benutzerbild von mfehleisen
    Registriert seit
    14.02.2007
    Ort
    71364 Winnenden
    Beiträge
    111

    Standard

    Zitat Zitat von thomas.hertli Beitrag anzeigen
    Richtig smart wäre es ja, wenn STARFACE das direkt einbauen würde.

    Bsp.: Unser Hosting-Provider bietet die Möglichkeit automatisiert für jede Domain die gehostet wird über "1Click" ein Zertifikat bei "Let's Encrypt" zu bestellen und verknüpft dieses dann auch gleich mit der Domain.

    Statt ein selbsigniertes Zertifikat zu erstellen, wäre es toll, wenn STARFACE eine Anbindung an "Let's Encrypt" realisieren würde
    *unterschreib*

    -Matthias
    Starface Excellence Partner & plusnet Exklusive Partner
    Kontakt: 07141-23999-0 (Telefon) / -99 (Fax) / URL: www.ucs-team.de / Mail: info@ucs-team.de
    NGN-Pakete für Starface - www.NGNbundle.de - auch SIP-Trunks für Starface Cloud!

Ähnliche Themen

  1. Antworten: 26
    Letzter Beitrag: 07.01.2019, 08:06
  2. Antworten: 10
    Letzter Beitrag: 11.09.2017, 09:23
  3. HttpGetValue - Let's Encrypt SSL
    Von hyanak im Forum Modul-Designer
    Antworten: 3
    Letzter Beitrag: 27.04.2016, 09:10
  4. Antworten: 6
    Letzter Beitrag: 07.12.2015, 17:06

Stichworte

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •