[Gratismodul] Let's Encrypt!

  • Hallo bytegetter


    Ich verstehe nicht ganz was du meinst.

    Die http Challenge geht an das http-Protokol, folglich an den Port 80.

    Und DNS ist Port 53.

    Die verwendung von alternativen Ports ist aus Sicherheitsgründen von seitens Let's Encrypt verboten.

    Ich bin am schauen, ob ich eventuell das TLS-ALPN-01 Protkoll einbinden kann, dafür müssen aber Anpassungen am Tomcat vorgenommen werden.

    Mfg

    Fabian

  • Ein Update hierzu.

    Per 7.2.0.X kann das Modul (Version 567) die http-Challenge selbstständig erfüllen.

    Bedeutet, das Modul kann somit den Renewal Prozess komplett automatisch durchführen, sofern von aussen die STARFACE auf dem Port 80 erreichbar ist.

    Einfach den Http-Challenge Typ wählen, und den Haken bei "Challenge Erfüllt" mitsetzen.

    MfG

    Fabian

  • Wenn der Challenger auf HTTP steht, muss der haken zur Weiterleitung auf https dann raus bleiben? Oder ist das nur für die erste Einrichtung wichtig.

    Bei uns funktioniert das Modul soweit ganz gut, mir ist nur aufgefallen das bei uns "Noch kein Zertifikat angefordert" steht obwohl eins erstellt wurde. Wir haben aktuell die Version 7.1.17 drauf

  • Hallo Mollinger

    Der Haken "Umleitung auf HTTPS erzwingen" muss draussen bleiben, da sonst die Renewals nicht funktionieren werden. (Ab Version 567 vom Modul für STARFACE 7.2.X)

    Das mit den Texten in den GUI Elementen ist halt ein bischen unzuverlässig.

    Wenn du die Instanz zu dem Zeitpunkt, als das Modul den Wert "Zertifikat installiert" in das GUI Feld schreiben wollte, offen hattest konnte es den Wert nicht überschreiben.

    Deshalb besteht das Modul so wehement darauf, dass man es Speichert, und nicht übernimmt, damit dieses Problem minimiert wird. Es passiert aber trotzdem immer wieder mal.

    Aber solange es das Zertifikat trotzdem Angefordert hat, sollte dies auch kein problem sein.

    MfG

    Fabian

  • Sicher das dass nur ohne den Haken geht? Bei Let´s encrypt steht nämlich folgendes

    Unsere Implementierung der HTTP-01-Challenge folgt Weiterleitungen, bis zu 10 Weiterleitungen tief. Es werden nur Weiterleitungen zu “http:” oder “https:” akzeptiert und nur zu den Ports 80 oder 443. Es werden keine Umleitungen zu IP-Adressen akzeptiert. Bei der Umleitung zu einer HTTPS-URL werden keine Zertifikate überprüft (da diese Abfrage gültige Zertifikate erstellen soll, kann es vorkommen, dass selbstsignierte oder abgelaufene Zertifikate vorhanden sind).

    Im Grunde ist das doch nur eine Weiterleitung auf die 443 was die Anlage macht oder? Ich Probier es einfach mal aus, entweder er machts oder halt nicht :D

  • Ich hatte den Haken drin und hab ein SSL-Zertifikat bekommen :) - aber gerne nochmal testen, wäre toll, wenn es mit der Weiterleitung klappt.

    -Matthias

    Starface Excellence Partner & plusnet Exklusive Partner :)
    Kontakt: 07141-23999-0 (Telefon) / -99 (Fax) / URL: http://ucs-team.de / Mail: info@ucs-team.de
    NGN-Pakete für Starface - bitte kontaktieren - SIP-Trunks für alle Starface-Anlagen / auch für Starface Cloud (ohne dedizierte IPv4-Adresse!)

  • Es gab noch einen Patch fürs Let's Encrypt Modul. (Version 590)

    Mit der STARFACE 8.X kann eine Alternative-Chain (Preffered-Chain) verwendet werden.

    Mehr Informationen dazu, weshalb dies evtl. nötig ist findet ihr hier: https://emak.tech/support/fixing…yealink-phones/

    MfG

    Fabian

    Also so richtig verstanden habe ich es nicht :D

    Was kann ich im neuen Modul eintragen unter "Alterantives Root-Zertifikat (preffered-chain) Suchen" ?

    LG Pascal

  • Eventuell hilft das hier: https://letsencrypt.org/de/certificates/

    isrg-hierarchy.png

    Wenn man bei Let's Encrypt ein Zertifikat Anfordert erhält man aktuell ein Zertifikat, mit einer Vertrauenskette via R3 -> ISRG Root X1 -> DST Root Ca X3
    Das R3 ist als "Rückwärtskompatiblität" drinnen, denn viele Ältere Geräte haben das ISRG RootX1 selbst noch nicht im Zertifikatspeicher für Vertrauenswürdige Zertifiaktausteller.

    Das R3 Zertifikat ist also teil einer alten Kette.

    Jedoch gibt es Browser/Geräte o.ä., welches auf diese Kette negativ reagieren wie z.b. (RE: [Gratismodul] Let's Encrypt!. Das veraltete R3 Zertifikat bereits als "Nicht Vertrauenswürdig" markiert haben.

    Bei solchen Geräten (Z.b. Yealink), wird diese Zertifikatskette dann als nicht "Nicht Vertrauenswürdig" markiert, und kann dementsprechend nicht für Verschlüsselte Verbindungen verwendet werdenm.

    Damit das Yealink jetzt dem Zertifikat vertraut, müssen wir beim Anfordern des Zertifikats definieren, dass wir diese "Rückwärtskompatiblität" mit dem R3 Zertifikat nicht brauchen.

    Dies wird mit einem Preffered-Chain Attribut definiert.

    Durch die Anforderung mit einem Preffered-Chain "ISRG Root X1" erhält man dann ein Zertifikat welches via "ISRG Root X1" -> "DST Root Ca X3" Signiert ist anstatt via "R3" -> "ISRG Root X1" -> "DST Root Ca X3".

    Somit ist das Nicht Vertrauenswürdige Zertifikat "R3" nicht mehr teil der Kette, und das Yealink akzeptiert das Zertifikat als gültig, und es kann für Verschlüsselung verwendet werden.

    MfG

    Fabian

  • Es gibt einen neuen Release ab 8.X (Modul Version 593)

    Diese behebt ein Problem, bei dem nicht die Vollständige Zertifikatskette in den KeyStore geschrieben wurde, und somit gewisse Endgeräte das Zertifikat für die Verschlüsselung nicht akzeptiert haben.

    MfG

    Fabian

  • Hallo Fabian,

    vielen Dank für dieses tolle Modul!

    Du hast auf der ersten Seite den Link auf http://module.si-solutions.ch.ch gesetzt - das haut nicht hin ;)

    LG,

    -Matthias

    Starface Excellence Partner & plusnet Exklusive Partner :)
    Kontakt: 07141-23999-0 (Telefon) / -99 (Fax) / URL: http://ucs-team.de / Mail: info@ucs-team.de
    NGN-Pakete für Starface - bitte kontaktieren - SIP-Trunks für alle Starface-Anlagen / auch für Starface Cloud (ohne dedizierte IPv4-Adresse!)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!