[Gratismodul] Let's Encrypt!

  • Hallo Miteinander


    Hier ein Modul, welches es erlaubt Let's Encrypt Zertifikate einzurichten inklusive auto-renewal


    Downloads Verfügbar auf: http://module.si-solutions.ch
    Gratiskey: E334T-Y2I2X-X4AZZ-RKZ9F-GVKF6 (Key um trotzdem die Kontrolle zu behalten)


    Bitte für die Anwendung des Moduls den Wikiartikel durchlesen!



    Im Verzeichnis: /home/Starface/letsencrypt findet ihr u.a.:


    Account Registrierungs Private Key File (SessipnPK.pem)
    Certificate Private Key File (CertPK.pem) (Exportiert aus dem Tomcat KeyStore, gleicher PK, welcher von der Starface für die Webseitenzertifikate verwendet wird)
    RegistrationURI (RegistrationURI.txt). (Dieser URI enthält die Registrierungslocation. Wird u.a. für die Löschung/Deaktivierung des Accounts benötigt.)
    Letzten CSR (CertCSR.csr)
    Letztes erstelltest Zertifikat (Certificate.cer)
    Zertifikatskette für letztes Zertifikat (CACertificate.cer) (RootCA, Intermediate usw..)


    MfG


    Fabian

  • Sehr geil.


    Das Zertifikat, das Tomcat verwenden soll, muss unter dem Alias "tomcat" in den Keystore gespeichert werden.
    Die Zertifikatskette kannst du dann zum Beispiel fuer die RootCA mit dem Alias "root" hinterlegen und die Intermediates dann zum Beispiel "intermediate1", ...
    Zum Bsp: keytool -import -trustcacerts -alias root -file root.crt -keystore /usr/share/tomcat6/ssl/tomcat.keystore
    Der Tomcat muss daraufhin neugestartet werden.


    Ich würde den alten tomcat.keystore verschieben (als Backup) und den vom Modul erzeugten übernehmen, dann bekommst du nicht das Problem, dass die Aliase im Keystore schon vorhanden sind.

  • Wollte mich daran versuchen, leider ohne Erfolg.


    Komme irgendwie mit der Anleitung nicht klar.


    Wie ist genau vorzugehen, wenn ein Schritt schief läuft ? Kann da einfach eine Änderung vorgenommen und neu gespeichert werden, oder muss die Modulkonfiguration gelöscht und eine neue erstellt werden ?


    Wenn etwas schiefgelaufen ist, ist die E-Mail-Adresse futsch und kann nicht mehr verwendet werden. Gibt eseine Möglichkeit diese zu löschen/deregistrieren, damit sie wieder verwendet werden kann ?


    Ein Versuch die E-Mail-Adresse zu registrieren hat funktioniert, allerdings fehlt die Meldung "Certifikate was added to keystore"


    Was ist mit dem TXT-Teil ? Muss da ein TXT-Eintrag im DNS erstellt werden ?



    Bin nun einen Schritt weiter

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

    3 Mal editiert, zuletzt von thomas.hertli () aus folgendem Grund: einen schritt weiter...

  • Hallo Thomas


    Wenn etwas schiefgelaufen bzw. falsche E-Mail Adresse musst du oben "Datensatz löschen" anhaken, Modul abspeichern, Haken wieder entfernen.


    Ale Anderen Änderungen sollte er ohne Probleme akzeptieren. (Ausnahme eine Pending Challenge. Dort muss man die Challenge als abgeschlossen markieren, damit diese Fehlschlägt, um eine neue Generieren zu können"


    Bei Stage 2 Musst du entweder die HTTP oder DNS Challenge wählen.


    In deinem Fall hast du nun eine DNS-Challenge gemacht.


    Also musst du den DNS Eintrag "_acme-challenge.hertli.ch " erstellen, und beim Content den DNS-Entry-CONTENT String einfügen.


    Danach unten den Haken bei "Challenge" erfüllt anhaken, und ganz unten die Zertifikatsdomäne und weitere Informationen ausfüllen.


    Ich werde noch konkret schauen, warum bei dir die Verbindung zum Server gekappt wurde. Bitte Versuch eventuell die SF schnell neu zu starten, falls du weiterhin einen java.net.SocketException: Connection reset erhälst.


    MfG


    Fabian

    SI-Solutions GmbH
    STARFACE Modul-Entwickler | STARFACE Excellence Partner
    Modul-Downloads | Wiki | Shop

    Einmal editiert, zuletzt von FabianZ ()

  • Hi Fabian,


    tolles Modul! nur irgendwie wills bei mir nicht richtig klappen:


    anscheinend hat das anlegen des "Accounts" funktioniert, nur schlägt bei mir das "auth" der domain fehl... Im Konfigurations-Tab wird mir auch der Wert für den dns-TXT-Eintrag nicht angezeigt.



    im oberen Log sind die email und domain-namen ersetzt...


    Kann es etwas damit zu tun haben, dass ich für diese domain schon vorher lokal mit dem certbot ein zertifikat erstellt habe?


    Ich wollte also vorher einfach mit dem csr von der starface ein zertifikat erzeugen. das hat auch alles geklappt. das fertige zertifikat lässt sich aber mit zertifikats-chain nicht importieren...


    Das funktionierte also nicht. Und jetzt bin ich auf dein tolles Modul gestoßen, das aber bei mir jetzt auch nicht so ganz will, wie ich... :rolleyes:


    Ich hoffe, du kannst mir da mit dem Log weiterhelfen. Ich wüsste halt nicht, warum das Auth scheitern sollte. In den Anleitungs-Gifs steht dort auch immer "[AUTH] returned:true"...


    mfg Daniel

  • Hallo Daniel


    Zitat

    Kann es etwas damit zu tun haben, dass ich für diese domain schon vorher lokal mit dem certbot ein zertifikat erstellt habe?


    Nein, das sollte dem Modul eigentlich egal sein.

    Zitat


    Ich hoffe, du kannst mir da mit dem Log weiterhelfen. Ich wüsste halt nicht, warum das Auth scheitern sollte. In den Anleitungs-Gifs steht dort auch immer "[AUTH] returned:true"...


    Hast du vielleicht dein Haken "Challenge Erfüllt" bereits gesetzt?
    Es sieht so aus, als ob die Challenge bereits "Authorisiert" wird, bevor diese erstellt wurde.
    Das sollte eigentlich nicht Passieren, wenn die Bilder oben Schritt für Schritt (inkl. Speichern) befolgt werden.


    Für mehr Infos könntest du mir eventuell per Putty:


    Code
    java -jar /var/starface/module/modules/repo/580396ad-77d9-4d7e-94d0-4c0f72c39993/LetsEncrypt.jar


    Ausführen, und von dort noch den Log Output Posten, wenn das Problem Auftritt?


    Danke


    MfG


    Fabian

  • Ah! jetzt gehts. Es lag daran, dass die Mailadresse nicht der selben Haupt-Domain angehört hat, wie der zu validierende Hostname (für die anderen: das steht im infotext für die Mailadresse drinnen). durch mein example.com-verschleiern ist das in den Logs, die ich gepostet hatte auch nicht aufgefallen...


    ich hatte in dem sinne als mailadresse admins@company.com und die domain ist company.dyn.provider.com da uns aber auch die andere Domain gehört, kann ich dort auch den dns-challenge-text einfügen.


    Warum muss denn die domain der mailadresse was mit der zu signierenden domain zu tun haben? im schon erwähnten lokalen durchlauf mit certbot hat die hier fehlerhafte kombi einwandfrei funktioniert... was setzt du denn als acme-client ein?


    mfg Daniel

  • Geiles Ding!!!


    Man braucht am Anfang etwas, bis man kapiert hat wie's funktioniert, aber dann läufts :)

    Viele Grüße,


    Andreas Stein
    IT Fabrik Systemhaus GmbH & Co. KG


    STARFACE Excellence PLUS Partner

  • Nettes Modul - vielen Dank dafür!


    Gibt es einen Weg, das ganze auch für die Cloud nutzbar zu machen, an der Stelle haben wir ja keine Möglichkeit, DNS Einträge selbst zu setzen ... :(


    -Matthias

    Starface Excellence Partner & plusnet Exklusive Partner :)
    Kontakt: 07141-23999-0 (Telefon) / -99 (Fax) / URL: www.ucs-team.de / Mail: info@ucs-team.de
    NGN-Pakete für Starface - bitte kontaktieren - SIP-Trunks für alle Starface-Anlagen / auch für Starface Cloud (ohne dedizierte IPv4-Adresse!)

  • Nettes Modul - vielen Dank dafür!


    Gibt es einen Weg, das ganze auch für die Cloud nutzbar zu machen, an der Stelle haben wir ja keine Möglichkeit, DNS Einträge selbst zu setzen ... :(


    -Matthias


    Was willst du denn für DNS-Einträge setzen? Ich hab das in der Cloud am laufen.

    Viele Grüße,


    Andreas Stein
    IT Fabrik Systemhaus GmbH & Co. KG


    STARFACE Excellence PLUS Partner

  • Wir haben auf allen Clouds immer eine eigene Domain.


    Also einen CNAME voip.domain.tld ==> cloudname.starface-cloud.com


    Und dann das Zertifikat auf. voip.domain.tld ausstellen.


    Deine Kunden müssen natürlich dann auch diesen DNS-Entry verwenden.


    MfG


    Fabian

  • Hallo,


    wir nutzen im Moment immer die Original Domain von Starface - dann müsste ich an der Stelle mal über "eigene" Domains nachdenken ;)


    -Matthias

    Starface Excellence Partner & plusnet Exklusive Partner :)
    Kontakt: 07141-23999-0 (Telefon) / -99 (Fax) / URL: www.ucs-team.de / Mail: info@ucs-team.de
    NGN-Pakete für Starface - bitte kontaktieren - SIP-Trunks für alle Starface-Anlagen / auch für Starface Cloud (ohne dedizierte IPv4-Adresse!)

  • Hallo Nucom,


    ich habe ein Problem mit deinem Modul in der aktuellen Version.


    Ich gehe die einzelnen Schritte durch, bekomme den DNS Key ( Steht im Feld und Log drin ) und trage den im DNS ein.
    Danach rufe ich das Modul neu auf, setzte den Hacken bei "Challenge Erfüllt" und speichere.
    Lt. Log Versucht er dann aber mit einem anderen Key den Auth durchzuführen und die Auth failed.


    Habe ich nochmal alles gelöscht und neu angefangen. Das selbe Problem wieder.


    Woran kann das liegen?


    Gruß

  • Hallo Delta


    Zusätzlich zur PN von dir, habe ich noch mehr Fragen.


    Könntest du den Datensatz mal löschen? Also das Häkchen bei "Datensatz löschen setzen" ==> Speichern ==> Reingehend Häkchen wieder entfernen.


    Bist du noch in der Testumgebung oder Produktivumgebung?


    Mfg


    Fabian

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!