(Beta) Let's Encrypt Cert Helper (v38)

  • Hallo liebe STARFACEler!


    Ich habe eine bequeme Möglichkeit gesucht, mittels Let's Encrypt ein grünes Schloss in die Adressleiste meiner STARFACE zu zaubern.
    Leider stellte sich der Prozess als nicht so toll™ heraus.


    Download
    Da man das Prozedere bei Let's Encrypt (LE) alle 90 Tage wiederholen muss, beschloss ich kurzerhand ein Modul zu schreiben:
    http://starface.janz-einfach.n…blic:modules:let_sencrypt


    Known Issues
    In der aktuellen Version 38 (Beta 2) gibt es zwei große Probleme, die einen finalen Release verhindern:

    • die STARFACE muss geupdated worden sein
    • man muss die Zertifikate auf einer anderen Maschine austellen


    1. lässt sich leicht lösen: solange die STARFACE nie geupdated wurde, fehlt die "/opt/jetty/lib/org.mortbay.jetty.jar". In folge dessen kann das Modul auch keinen neuen Tomcat Keystore bauen. Sobald ich eventuelle Urheberrechtsansprüche geklärt habe, kann ich die JAR als Fallback bundlen.
    2. ist kniffliger. Der ACME Client hat diverse dependencies, die so in der STARFACE nicht erfüllt werden können. Hier muss ich mir was einfallen lassen, das nicht zu tief in CentOS herumpfutscht.


    Das Modul ist Quelloffen, über Feedback würde ich mich freuen.


    Screenshots

    Einmal editiert, zuletzt von DerGerät () aus folgendem Grund: Bebilderung & Formatierung

  • Hallo Der Gerät,


    Idee finde ich super!
    Der ACME Client wäre noch fein, wenn der laufen würde.
    Hast du dir auch schon überlegt einen alternative Implementierung in Java oder Shell zu nehmen?


    Beide Projekte wurden von mir noch nicht getestet, von dem her ohne Gewähr.

  • Hallo Der Gerät,


    Idee finde ich super!
    Der ACME Client wäre noch fein, wenn der laufen würde.
    Hast du dir auch schon überlegt einen alternative Implementierung in Java oder Shell zu nehmen?


    Beide Projekte wurden von mir noch nicht getestet, von dem her ohne Gewähr.


    Hallo rproba,


    coole Sache! Das klingt doch direkt nach einem Sonntagsprojekt.


    EDIT
    Spiel, Spaß und Freude für die ganze Familie. Der Starface Webserver (tomcat) beantwortet HTTP-GET auf eine (unbekannte) Ressource ohne Dateierweiterung (index statt index.html) mit 404 und der Loginpage:


    Und ja, Datei und Pfad existieren. Wenn man ein .txt oder .html an den Dateinamen dranhängt, bekommt man die Datei im Browser angezeigt.
    Die http-01 Challenge sieht aber genau das vor.


    Was verbleibt also an Optionen:

    • Tiefgreifende Änderung im Tomcat:
      Ein No-Go meiner Meinung nach.


    • Zweiter Webserver für Port 80:
      Auch hier wieder: http-01 challenge ist nur über Port 80 möglich. Es kann nicht mehr als ein Daemon zeitgleich auf einem Port lauschen. Also hier wieder zwei Möglichkeiten:

      • Tomcat stoppen:
        Kein Webinterface, keine Aufbau neuer Telefonate, eventuell laufende Tasks werden kalt abgebrochen. Mist.
      • Zur Laufzeit den Port 80 via iptables umbiegen:
        Hier müsste ich trotzdem einen Webserver oder zumindest einen HTTP-Stack auf die Anlage mogeln, der meinetwegen auf Port 8080/tcp lauscht.
        Dann per iptables INPUT-Chain für die Laufzeit alle eingehenden Pakete für port 80 auf z.B. 8080 umleiten...



    Für mich ist keiner der Optionen viabel für den Produktivbetrieb. Zurück an's Whiteboard :rolleyes:

    Einmal editiert, zuletzt von DerGerät ()

  • Ich schaue mir momentan den acme.sh Client an. Dieser hat der Vorteil, dass er nur eine Shell (und cURL/wget und OpenSSL) benötigt. Zudem kann er auch DNS-01 Challenge machen. Wenn also der DNS-Anbieter eine API anbietet, kann ein Plugin geschrieben werden. Mein DNS Anbieter ist schon drinnen. Der Vorteil liegt auf der Hand: Durch das DNS-01 Challenge muss die Maschine, die ein Cert anfordert, nicht direkt erreichbar sein (also auch kein Webserver laufen). Man kann Cert für sämtliche Subdomains anfordern, auch wenn kein A- oder CNAME Record eingetragen sind.

  • Richtig smart wäre es ja, wenn STARFACE das direkt einbauen würde.


    Bsp.: Unser Hosting-Provider bietet die Möglichkeit automatisiert für jede Domain die gehostet wird über "1Click" ein Zertifikat bei "Let's Encrypt" zu bestellen und verknüpft dieses dann auch gleich mit der Domain.


    Statt ein selbsigniertes Zertifikat zu erstellen, wäre es toll, wenn STARFACE eine Anbindung an "Let's Encrypt" realisieren würde

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • +1
    erst heute habe ich überlegt, wie ich ein let's encrypt Cert in die Starface rein bekomme. Einen einfachen Importknopf hätte ich mir gewünscht. Aber den gibt es leider nicht. :-/
    Anregung: Möglichkeit, ein externes Zertifikat zu importieren. Die meisten Programme die ich benutze, die Zertifikate verwenden, können das.

  • Richtig smart wäre es ja, wenn STARFACE das direkt einbauen würde.


    Bsp.: Unser Hosting-Provider bietet die Möglichkeit automatisiert für jede Domain die gehostet wird über "1Click" ein Zertifikat bei "Let's Encrypt" zu bestellen und verknüpft dieses dann auch gleich mit der Domain.


    Statt ein selbsigniertes Zertifikat zu erstellen, wäre es toll, wenn STARFACE eine Anbindung an "Let's Encrypt" realisieren würde


    *unterschreib*


    -Matthias

    Starface Excellence Partner & plusnet Exklusive Partner :)
    Kontakt: 07141-23999-0 (Telefon) / -99 (Fax) / URL: www.ucs-team.de / Mail: info@ucs-team.de
    NGN-Pakete für Starface - bitte kontaktieren - SIP-Trunks für alle Starface-Anlagen / auch für Starface Cloud (ohne dedizierte IPv4-Adresse!)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!