[Gratismodul] Let's Encrypt!

  • Hi Fabian,


    habe nochmal alles gelöscht und komplett neu mit der neuen Version durchgeführt und war erfolgreich.
    Danke für den super schnellen Support. :)


    Gruss
    Mathias

  • Zitat

    habe nochmal alles gelöscht und komplett neu mit der neuen Version durchgeführt und war erfolgreich.


    Danke fürs Feedback!


    Zitat

    Danke für den super schnellen Support. :)


    Kein Problem ;)


    MfG


    Fabian


  • Hallo Fabian,


    lese ich das richtig raus, das der CSR immer raus kopiert werden muss und in den Webbereich der STARFACE hinterlegt werden muss? Damit ist es keine Möglichkeit für STARFACE Cloud oder?



    Mit besten Grüßen


    Kevin

  • Hallo Kevin


    Zitat

    lese ich das richtig raus, das der CSR immer raus kopiert werden muss und in den Webbereich der STARFACE hinterlegt werden muss? Damit ist es keine Möglichkeit für STARFACE Cloud oder?


    Nein, das ist als reine Notiz, falls jemand die entsprechenden Daten Sichern will.
    Das Modul ersetzt das Zertifikat vollautomatisch für dich.


    Mfg


    Fabian

  • Hallo allerseits,


    mir zerschießt es immer regelmäßig das Webinterface der Cloud-STARFACE, siehe auch hier:


    https://support.starface.de/fo…FACE-neues-SSL-Zertifikat


    Kann mir das vielleicht jemand gegen Rechnung bei meiner STARFACE Cloud und einer STARFACE Compact V2 mittels TeamViewer installieren (und zwar so, dass das Zertifikat alle 90 Tage automatisch erneuert wird)?


    Anscheinend bin ich zu blöd dazu.


    Danke und Grüße,


    d i r k

    Viele Grüße


    d i r k

  • Ich würde ja einfach einen Domäneneintrag "meinepbx.meinedomain.de" anlegen, diesen auf die Cloud-Anlage verweisen lassen, auf der STARFACE ein Zertifikat dafür generieren und dieses für 10-20 Euro z.B. von RapidSSL (oder einer beliebig anderen CA) signieren lassen. Das ist billiger als 15 Minuten Dienstleistung... ganz ohne Spielerei und voll supported.

  • Na gut, ich denke darüber nach...


    Warum haben die keine Euro-Preise?


    Oder besser per SSLmarket bestellen?


    Ich habe diverse (auch sehr generische) Domains bei All Inkl, die ja bekanntlich beliebig viele (zumindestens in meinem hohen Tarif) Let's Encrypt-Zertifikate implementiert haben, weiß nur nicht, ob das in Verbindung mit der STARFACE funktioniert...? Weiß das zufällig jemand?


    ssl_ai.jpg


    Suboptimal:


    ssl_ai2.PNG


    Zitat

    Sie können sich mit Hilfe des CSR Generators selbst ein Zertifikat erzeugen lassen. Da dieses allerdings von keiner Zertifizierungsstelle unterschrieben wurde, wird es im Browser eine Fehlermeldung erzeugen. Die Verbindung ist dann jedoch trotzdem verschlüsselt.


    Falls gewünscht, können Sie sich dieses Zertifikat von einer beliebigen Zertifizierungsstelle unterschreiben lassen oder Sie fügen unten ein selbst erworbenes Zertifikat ein. Im letzteren Fall ignorieren Sie bitte die Angaben im CSR Generator.


    "Händisch" kann ich das Let's Encrypt-Zertifikat wohl auch erzeugen:


    ssl_ai3.jpg


    UPDATE: So, wenn ich bei All Inkl den Certificate Request reinkopiere und speichere dann kommt "Die CSR Syntax ist nicht korrekt.".


    Trotzdem hätte ich gerne auch eine Idee, wie es komplett kostenfrei geht...


    Der Kunde hat beim Kauf der Compact nicht mitbekommen, dass er nach 2 Jahren jedes Jahr für ein Zertifikat zahlen muss...


    Und bitte bitte hier abstimmen:


    https://starface.uservoice.com…ilter=ideas&query=encrypt


    Nochmal zu RapidSSL: Ich sehe da keine niedrigen Kosten!


    Alles was in der von Dir genannten Preisregion ist hat das:


    Green Address Bar: No
    SAN Support: No


    https://www.rapidsslonline.com…apidssl-certificates.aspx


    Grüße,


    p h o s m o

    Viele Grüße


    d i r k

    12 Mal editiert, zuletzt von d i r k ()

  • Hallo Dirk



    Wäre es möglich, dass du mir dafür mal das Log-File zur Verfügung stellst? (per PN)


    Auf meiner lokalen Maschine lief das Modul bis jetzt einwandfrei, vielleicht gibt es bei den Clouds noch etwas spezielles zu beachten.


    MfG


    Fabian

  • Hallo Fabian,


    leider nicht, ich weiß auch nie, was der Support dann jeweils gemacht hat.


    Diesmal haben sie die Cloud-Instanz gelöscht, eine neue eingerichtet und das alte Backup von vorher eingespielt...


    Sie meinten irgendwas von .pem oder so nicht kompatibel... Das sind die einzigen Infos, die ich in Erinnerung habe...


    Grüße,


    d i r k

    Viele Grüße


    d i r k


  • Schade.


    Ich schau mal, dass ich ne Anlage hochfahren, damit ich dort dann einfach das Let's Encrypt Zertifikatsmodul drauf laufen hab.


    Das .pem Problem würde heissen, dass der Private Key der Zertifikats ungültig war. Dann sollte er aber auch gar kein Zertifikat mehr generieren können.


    Aber wie gesagt, Probier ich selbst mal auf einer Cloud aus.


    MfG


    Fabian

  • Hallo Fabian,


    vielen Dank!!!


    Der Support meinte sinngemäß, die STARFACE arbeitet gar nicht mit .pem-Dateien meine ich (ohne Gewähr)...


    Grüße,


    d i r k

    Viele Grüße


    d i r k

  • Ich habe eine zweite Meldung von jemandem erhalten, der eine Appliance hat. Bei dem ist beim 4. Renewal etwas schiefgelaufen, das komische ist jedoch, dass im Modul Log, der Ablauf gar nicht dokumentiert wurde, sprich es sind keine neuen Log Einträge seit dem 3. Ablauf dazugekommen, und doch ist irgendetwas passiert.


    Währenddessen läuft es auf meiner Testanlage bis jetzt einwandfrei. Also muss da noch etwas mehr dahinterstecken. Sobald ich etwas weiss, werde ich es natürlich posten.


    MfG


    Fabian


  • Eventuell kommt ihm seine Firewall in die Quere?

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Hallo Tom


    Das ist ziemlich unwahrscheinlich.


    Selbst bei einem Firewall Problem müsste ich irgendwelche Logs/Stacktraces im Modul sehen.
    Das allererste das das Modul macht ist mit dem Log-Baustein einen log.debug(Prüfe Lizenz...)


    Ich habe jetzt noch eine Zweite Testanlage hochgefahren dort werde ich das Modul einstellen, dass es Töglich in der ACME Testumgebung ein Modul anfordert.


    MfG


    Fabian

  • Ich habe es soeben auf der Testanlage nachstellen können


    Ich habe einfach über die letzten 2 Stunden immer mal wieder Manuell gespeichert, um ein neues Zertifikat anzufordern.


    Konkret passiert der Fehler bei einem Nonce Reject (Siehe Seite 4 vom Threadt, an einer gewissen Stelle.


    Konkret:


    • Das Modul meldet sich beim ACME Server
    • Das Modul lädt oder generiert das KeyPair von "/home/starface/letsencrypt/SessionPK.pem"
    • Das Modul fragt den ACME Server, ob die Challenge für diesen Private Key schon Erfüllt wurde.
    • Ja, Challenge erfüllt.
    • Das Modul sichert den Tomcat-keystore, und leert das Original <== Hier war das Problem
    • Das Modul lädt oder generiert das Zertifikats Keypair, in: /home/starface/letsencrypt/CertPK.pem
    • Das Modul erstellt mithilfe vom CertPK.pem ein CSR, welches dann an den ACME Server gesendet wurde, und erhält ein Zertifikat <== Hier ist die Ursache
    • Das Modul speichert das erhaltene Zertifikat einmal in eine Datei, und speichert es gleichzeitig auch im Keystore.



    So, wie ich schon gerade markiert habe, hatte ich während dem Programmieren einen Fehler gemacht.
    Wenn nun während des Anfordern des Zertifikats etwas schiefgeht, wie z.b., dass der nonce ausgelaufen ist, oder die Verbindung abbricht, war der Tomcat-Keystore bereits leer. Und das Modul brach wegen eines Fehlers ab, ab dem Moment ist natürlich das Webinterface tot.
    Ich habe es nun korrigiert auf:


    • Das Modul meldet sich beim ACME Server
    • Das Modul lädt oder generiert das KeyPair von "/home/starface/letsencrypt/SessionPK.pem"
    • Das Modul fragt den ACME Server, ob die Challenge für diesen Private Key schon Erfüllt wurde.
    • Ja, Challenge erfüllt.
    • Das Modul lädt oder generiert das Zertifikats Keypair, in: /home/starface/letsencrypt/CertPK.pem
    • Das Modul erstellt mithilfe vom CertPK.pem ein CSR, welches dann an den ACME Server gesendet wurde, und erhält ein Zertifikat
    • Das Modul sichert den Tomcat-keystore, und leert das Original
    • Das Modul speichert das erhaltene Zertifikat einmal in eine Datei, und speichert es gleichzeitig auch im Keystore.


    Somit wird der Tomcat-Keystore erst angefasst, wenn auch wirklich sicher ist, dass der ACME Server ein Zertifikat zurückgegeben hat.


    MfG


    Fabian

  • Also ich habe es gefühlte 10 mal probiert und ich scheitere immer am Ende. Sprich nach Challange erfolgreich.


    Im Log steht dann folgendes:
    2019-03-22 15:00:51,629] DEBUG [RequestCertificate] Trying to Request Certificate
    [2019-03-22 15:00:53,144] DEBUG [RequestCertificate] org.shredzone.acme4j.exception.AcmeUnauthorizedException: No registration exists matching provided key
    at org.shredzone.acme4j.connector.DefaultConnection.createAcmeException(DefaultConnection.java:397)
    at org.shredzone.acme4j.connector.DefaultConnection.accept(DefaultConnection.java:207)
    at org.shredzone.acme4j.Registration.requestCertificate(Registration.java:245)
    at org.shredzone.acme4j.Registration.requestCertificate(Registration.java:210)
    at nucom.module.letsencryptv3.certificate.RequestCertificate.execute(RequestCertificate.java:133)
    at de.vertico.starface.module.core.runtime.executables.JavaFunctionExec.executeImpl(JavaFunctionExec.java:146)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.LoadedModule.invokeFunction(LoadedModule.java:213)
    at de.vertico.starface.module.core.runtime.LoadedFunction.invoke(LoadedFunction.java:74)
    at de.vertico.starface.module.core.runtime.RuntimeEnvironmentImpl.invokeFunction(RuntimeEnvironmentImpl.java:233)
    at de.vertico.starface.module.core.runtime.executables.FunctionCallExec.executeImpl(FunctionCallExec.java:128)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.executables.ContainerExec.executeImpl(ContainerExec.java:82)
    at de.vertico.starface.module.core.runtime.executables.FunctionExec.executeImpl(FunctionExec.java:57)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.LoadedModule.invokeFunction(LoadedModule.java:213)
    at de.vertico.starface.module.core.runtime.LoadedFunction.invoke(LoadedFunction.java:74)
    at de.vertico.starface.module.core.runtime.RuntimeEnvironmentImpl.invokeFunction(RuntimeEnvironmentImpl.java:233)
    at de.vertico.starface.module.core.runtime.executables.FunctionCallExec.executeImpl(FunctionCallExec.java:128)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.executables.ContainerExec.executeImpl(ContainerExec.java:82)
    at de.vertico.starface.module.core.runtime.executables.FunctionExec.executeImpl(FunctionExec.java:57)
    at de.vertico.starface.module.core.runtime.executables.BaseExec.execute(BaseExec.java:116)
    at de.vertico.starface.module.core.runtime.ModuleRuntime.callEntryPoint(ModuleRuntime.java:336)
    at de.vertico.starface.module.core.runtime.ModuleRuntime.callEntryPoint(ModuleRuntime.java:507)
    at de.vertico.starface.module.core.runtime.ModuleRuntime.callLifeCycleEntryPointsForInstance(ModuleRuntime.java:2070)
    at de.vertico.starface.module.core.runtime.ModuleRuntime.access$000(ModuleRuntime.java:121)
    at de.vertico.starface.module.core.runtime.ModuleRuntime$1.run(ModuleRuntime.java:2044)
    at java.lang.Thread.run(Thread.java:748)


    Ich weiss nicht ob es an dem Modul liegt, an den Scripten die verwendet werden oder an mir. Ich würde mich über einen Tipp sehr freuen.

  • Hallo Fabian,


    das hört sich doch super an, vielen Dank nochmal!!!


    Für alle, die es noch nicht wissen: Witzigerweise habe ich irgendwann zufällig festgestellt, dass mittlerweile STARFACE kostenlos ein GeoTrust-Zertifikat bei den Cloud-Anlagen nutzt... Und man das bei alten Cloud-Instanzen auch umstellen lassen kann...


    Für physische Appliances kann ich es aber dringend gebrauchen, ich teste in Kürze nochmal... ;)


    Grüße,


    d i r k

    Viele Grüße


    d i r k

    4 Mal editiert, zuletzt von d i r k ()

  • Also ich habe es gefühlte 10 mal probiert und ich scheitere immer am Ende. Sprich nach Challange erfolgreich.


    Im Log steht dann folgendes:
    2019-03-22 15:00:51,629] DEBUG [RequestCertificate] Trying to Request Certificate
    [2019-03-22 15:00:53,144] DEBUG [RequestCertificate] org.shredzone.acme4j.exception.AcmeUnauthorizedException: No registration exists matching provided key
    Ich weiss nicht ob es an dem Modul liegt, an den Scripten die verwendet werden oder an mir. Ich würde mich über einen Tipp sehr freuen.


    Könntest du die Starface mal neu starten, und dann nochmals Probieren?


    MfG


    Fabian

  • Hallo Dirk


    Zitat

    das hört sich doch super an, vielen Dank nochmal!!!


    Zitat

    Für alle, die es noch nicht wissen: Witzigerweise habe ich irgendwann zufällig festgestellt, dass mittlerweile STARFACE kostenlos ein GeoTrust-Zertifikat bei den Cloud-Anlagen nutzt... Und man das bei alten Cloud-Instanzen auch umstellen lassen kann...


    Ja dies ist uns aufgefallen, weil wir kürzlich eine neue Cloud eröffnet hatten.


    Zitat

    Für physische Appliances kann ich es aber dringend gebrauchen, ich teste in Kürze nochmal...


    Ich hatte in Erinnerung, dass hier vorher noch ein halber Roman gestanden ist?


    Ich habe noch einen Fehler entdeckt.


    Wenn eine Challenge ausgelöst wurde, und danach der Datensatz gelöscht wurde, blieb die Challenge Pendent.


    Wenn man nun das Modul wieder von vorne ausfüllte, dann versuchte er nachher mit dem neuen Private-Key die Veraltete Challenge zu Erfüllen, und verursachte damit den Fehler


    Zitat

    [2019-03-22 15:00:53,144] DEBUG [RequestCertificate] org.shredzone.acme4j.exception.AcmeUnauthorizedExc eption: No registration exists matching provided key


    Es ist eine neue Version des Moduls zum Download verfügbar.


    MfG


    Fabian

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!