[Gratismodul] Let's Encrypt!

Hallo bytegetter

Ich verstehe nicht ganz was du meinst.

Die http Challenge geht an das http-Protokol, folglich an den Port 80.

Und DNS ist Port 53.

Die verwendung von alternativen Ports ist aus Sicherheitsgründen von seitens Let's Encrypt verboten.

Ich bin am schauen, ob ich eventuell das TLS-ALPN-01 Protkoll einbinden kann, dafür müssen aber Anpassungen am Tomcat vorgenommen werden.

Mfg

Fabian

Ein Update hierzu.

Per 7.2.0.X kann das Modul (Version 567) die http-Challenge selbstständig erfüllen.

Bedeutet, das Modul kann somit den Renewal Prozess komplett automatisch durchführen, sofern von aussen die STARFACE auf dem Port 80 erreichbar ist.

Einfach den Http-Challenge Typ wählen, und den Haken bei "Challenge Erfüllt" mitsetzen.

MfG

Fabian

Hallo Bytegetter

Ja, erst ab STARFACE 7.2.X also mit dem Upcoming Release.

Verwendung mit 7.1 könnte dazu führen, dass es den Webserver bzw. den Keystore zerschiesst.

MfG

Fabian

Hallo Mollinger

Der Haken "Umleitung auf HTTPS erzwingen" muss draussen bleiben, da sonst die Renewals nicht funktionieren werden. (Ab Version 567 vom Modul für STARFACE 7.2.X)

Das mit den Texten in den GUI Elementen ist halt ein bischen unzuverlässig.

Wenn du die Instanz zu dem Zeitpunkt, als das Modul den Wert "Zertifikat installiert" in das GUI Feld schreiben wollte, offen hattest konnte es den Wert nicht überschreiben.

Deshalb besteht das Modul so wehement darauf, dass man es Speichert, und nicht übernimmt, damit dieses Problem minimiert wird. Es passiert aber trotzdem immer wieder mal.

Aber solange es das Zertifikat trotzdem Angefordert hat, sollte dies auch kein problem sein.

MfG

Fabian

Hallo Molinger

Dann könnte es sein, dass es trotzdem geht.

Getestet hab ichs jedoch nie.

MfG

Fabian

Es gab noch einen Patch fürs Let's Encrypt Modul. (Version 590)

Mit der STARFACE 8.X kann eine Alternative-Chain (Preffered-Chain) verwendet werden.

Mehr Informationen dazu, weshalb dies evtl. nötig ist findet ihr hier: https://emak.tech/support/fixi…expiry-on-yealink-phones/

MfG

Fabian

Eventuell hilft das hier: https://letsencrypt.org/de/certificates/

Wenn man bei Let's Encrypt ein Zertifikat Anfordert erhält man aktuell ein Zertifikat, mit einer Vertrauenskette via R3 -> ISRG Root X1 -> DST Root Ca X3
Das R3 ist als "Rückwärtskompatiblität" drinnen, denn viele Ältere Geräte haben das ISRG RootX1 selbst noch nicht im Zertifikatspeicher für Vertrauenswürdige Zertifiaktausteller.

Das R3 Zertifikat ist also teil einer alten Kette.

Jedoch gibt es Browser/Geräte o.ä., welches auf diese Kette negativ reagieren wie z.b. (RE: [Gratismodul] Let's Encrypt!. Das veraltete R3 Zertifikat bereits als "Nicht Vertrauenswürdig" markiert haben.

Bei solchen Geräten (Z.b. Yealink), wird diese Zertifikatskette dann als nicht "Nicht Vertrauenswürdig" markiert, und kann dementsprechend nicht für Verschlüsselte Verbindungen verwendet werdenm.

Damit das Yealink jetzt dem Zertifikat vertraut, müssen wir beim Anfordern des Zertifikats definieren, dass wir diese "Rückwärtskompatiblität" mit dem R3 Zertifikat nicht brauchen.

Dies wird mit einem Preffered-Chain Attribut definiert.

Durch die Anforderung mit einem Preffered-Chain "ISRG Root X1" erhält man dann ein Zertifikat welches via "ISRG Root X1" -> "DST Root Ca X3" Signiert ist anstatt via "R3" -> "ISRG Root X1" -> "DST Root Ca X3".

Somit ist das Nicht Vertrauenswürdige Zertifikat "R3" nicht mehr teil der Kette, und das Yealink akzeptiert das Zertifikat als gültig, und es kann für Verschlüsselung verwendet werden.

MfG

Fabian

Hallo castertroy

In solchen fällen wäre ich froh, wenn du das Log-level im Modul auf DEBUG setzt, und mir danach die Logs per PN zusenden könntest, damit ich mir das ansehen kann.

Danke!

MfG

Fabian

Es gibt einen neuen Release ab 8.X (Modul Version 593)

Diese behebt ein Problem, bei dem nicht die Vollständige Zertifikatskette in den KeyStore geschrieben wurde, und somit gewisse Endgeräte das Zertifikat für die Verschlüsselung nicht akzeptiert haben.

MfG

Fabian