Ankündigung

Einklappen
Keine Ankündigung bisher.

Lets Encrypt SSL - Häufige Fragen

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Lets Encrypt SSL - Häufige Fragen

    So ich glaube ich mach einen neuen Fred auf. 'Es geht sich um Lets Encrypt SSL Zertifikate. Hier sammel ich mal bestimmte Basics und editiere den ersten Post, wenn ich das für richtig halte...
    • Subject Alternative Name (SAN) unterstützt Letsencrypt
    • Grüne Adressleiste ( EV Zertifikate ) wird es nicht geben
    • Wildcard Domain Unterstützung wird es erstmal nicht geben
    • Lets Encrypt läuft ab Ubuntu 12.04 ( unbestätigt! ) ( Debian?)
    • ACME Protokoll Unterstützung! *Kommt dazu später noch was!
    • Limits: 10 Registrierungen / IP alle 3 Stunden MAX
    Ich denke das ist erstmal ne Menge. Es wird auch was dazu kommen, da bin ich sicher. Ich wollte das vom Testserver Fred erstmal frei halten, da hier Fakten stehen sollen und Informationen gebündelt werden. Interessant wären auch die unterschiedlichen Installationsarten. Dazu sollten wir vielleicht wieder einen neuen Fred öffnen. Was meinst du Synonym ?

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
    Ich denke, also BING ich :)


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

    #2
    Debian? Kann ich sagen, soll mit Debian 7 und Debian 8 gehen. Kann ich auch bestätigen, geht auf beiden (manuelle Installation, nicht mit --apache). Das offizielle Paket kommt aber erst mit Debian 9, also gegen Ende Dez. 2016

    Was meinst Du mit den Limits? Welche sind das genau, die Du da schreibst. Das Limit für die Ausstellung von Zertifikaten liegt nämlich bei 5 pro Domain binnen 7 Tagen. Dazu zählt auch renew.

    Mach nicht zu viele auf, das bringt nichts. Verschieben und strukturieren kann man später immer noch.

    Kommentar


      #3
      So Alex07 , ich bin glaube ich einen Schritt weiter... Bin gerade im Bereich SNI vs. SAN unterwegs.

      Letsencrypt, sowohl als --apache als auch --webroot legt Einzelzertifikate an. Das liegt daran, dass das --apache -Modul automatisch die vHosts einzeln durchgeht und als Docroot verwendet und man für --webroot ja auch manuell den jeweiligen Docroot angeben muss. Für jeden Docroot wird dann ein Zertifikat erstellt. Alternativnamen sind nur die, die auch auf den gleichen Host zeigen.

      Für ein SAN-Zertifikat, also mehrere verschiedene Hosts mit einem Zertifikat muss man --standalone oder --manuell nutzen und dazu den vorhandenen Webserver stoppen.

      ferienunterkunft-bodensee.de nutzt ein Einzelzertifikat
      fewo-theissen.de nutzt ein Einzelzertifikat

      ferienunterkunft-italien.de und
      ferienunterkunft-oesterreich.de und
      ferienunterkunft-spanien.de nutzen ein SAN-Zertifikat.

      Alle Domänen liegen auf dem gleichen Server. Das SAN und auf der gleichen IP wie Bodensee und Theissen. Die Seiten werden nicht weitergeleitet, sind ja nur ein Test, also beim Aufrufen immer *** Link veraltet ***. voranstellen.

      Aktuell melden die Domänen mit dem SAN auch einen Fehler bei alten Browsern, da die eben kein SNI können und die Einzelzertifikate bzw. die Domänen damit in der Rangliste vorne liegen. Schalte ich jedoch die beiden Einzelzertifikate von Bodensee und Theissen ab, dann funktionieren die anderen drei Domänen ohne SNI-Warnung.


      Nur, was ist nun besser?

      Einzelzertifikate kann man direkt erzeugen und einbinden, ohne den Webserver zu stoppen. Auch kann man einfach eine Domain entfernen oder eine neue hinzufügen, ohne für alle neue Zertifikate zu erstellen. Dafür hat man lauter einzelne und muss die einzeln updaten. Da es SNI nutzt funktionieren Android 2.3.7 und IE8/WinXP nicht.

      SAN ist schneller in der Einrichtung und man muss nur eines aktualisieren. Man hat nur ein Zertifikat für alle Seiten. Da es kein SNI nutzt funktionieren auch Android 2.3.7 und IE8/WinXP. Man muss aber den Webserver stoppen. Fügt man eine neue Domain hinzu oder zieht eine auf einen anderen Server, dann muss man ein neues SAN erstellen. Macht man das nicht, dann geht der renew nicht. Es müssen alle aufgeführten Domänen auf dem Server erreichbar sein. Fehlt eine, dann schlägt die ganze Zertifikatsaustellung fehl.
      Zuletzt geändert von Synonym; 30.01.2016, 22:52.

      Kommentar


        #4
        Dann bin ich jetzt auch nen Schritt weiter... Sehr gut Synonym

        wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
        Ich denke, also BING ich :)


        Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

        Kommentar


          #5
          Welchen denn?

          Habe mir das gestern Abend noch überlegt, denn Du hattest auf der free-ssl.org erst ein Zertifikat für die Domain selbst, und dann jetzt eines für alle Domains. Kann es sein, dass Du das jetzige selbst erstellt hast mit --standalone und das vorher per ISP? Wäre sogar denkbar, dass es durch die Mischung aus ISP und manuell und die "Umleitung" vom ISP durch die ganzen Symlinks zu Problemen kommt und der Server teilweise gar nicht mehr weiß, welches Zertifikat nun wann raus soll. Du hast wahrscheinlich auch mehrere Zertifikate und eine Domain wird da in verschiedenen vorkommen. So wie ich das gesehen habe nutzt ISP auch nicht nur Symlinks, sondern kopiert die Zertifikate in echt wo anders hin. Gut möglich also, dass letsencrypt das Zertifikat am eigentlichen Ort löscht, wenn Du manuell ein neues ausstellst, das alte kopierte von ISP aber noch da ist.

          letsencrypt-auto --webroot -w /pfad/ -d free-ssl.org

          erstellt ein Zertifikat für einen vhosts

          letsencrypt-auto --webroot -w /pfad/ -d free-ssl.org -w /pfad2/ -d alex-sucht-frau.de

          erstellt zwei einzelne Zertifikate und

          letsencrypt-auto --standalone -d free-ssl.org -d alex-sucht-frau.de

          erstellt ein Zertifikat, das für beide Hosts gilt.

          --standalone unterscheidet nicht mehr nach dem Docroot, denn es betreibt einen eigenen temporären Webserver und leitet alle Domänen, die auf dem Server zeigen, in den gleichen vHost. Und in diesem temporären vhost wird die acme-challenge ausgeführt.

          Kommentar


            #6
            Eine neue Sache ist mir gestern auch noch aufgefallen. Ich nutze ja z.B. Piwik auf einer Maschine ohne eigene Domain. Es wird einfach der Hostname von Strato verwendet. Hat Vorteile: kostet nichts und ein Serverumzug geht in ohne Ausfälle, da man nicht auf DNS-Änderungen warten muss.

            z.B. h240xxxx.stratoserver.net

            Auch bei anderen Seiten nutze ich den Hostnamen als Testdomain ala dev-bodensee.h240xxxx.stratoserver.net. Das Problem ist nur, dass man dafür kein Zertifikat bekommt. Genau genommen ist das Problem die Anzahl der Abfragen. Diese 5 pro 7 Tage beziehen sich nämlich nicht auf die Subdomain, sondern auf die Hauptdomain.

            Rufe ich ein Zertifikat für h240xxxx.stratoserver.net ab, dann kommt:

            "There were too many requests of a given type :: Error creating new cert :: Too many certificates already issued for: stratoserver.net"

            Muss man also beachten. Gleiches zählt auch für normale Subdomains. Mehr als 5 geht nicht. mit meinen

            domain1
            *** Link veraltet ***
            img0.domain1
            img1.domain1
            img2.domain1

            habe ich das Limit also für domain1 erreicht, auch wenn die Subs teilweise auf verschiedenen Servern liegen. Es ist nicht möglich, hier noch mal ein Zertifikat zu bekommen oder auf Grund eines möglichen Fehlers ein renew zu starten, nicht binnen einer Woche.

            Das Limit zählt also nicht für die Sub einzeln, sondern für die Hauptdomain.

            Kommentar


              #7
              Hi ja,
              das habe ich leidvoll auch schon mitbekommen...
              Es sind glaube 5 Pro Woche / Domain.

              wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
              Ich denke, also BING ich :)


              Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

              Kommentar


                #8
                Ja, das pro Domain war mir klar, aber ich dachte eine Sub wäre eine eigene Domain. Also *** Link veraltet *** 5x möglich und sub.domain1.de 5x möglich. Aber nee, das zählt zusammen :(

                "Es sind glaube 5 Pro Woche / Domain"
                Da glaubst Du richtig, hatte ich ja auch oben im 2. Post geschrieben ;)

                Kommentar


                  #9
                  Das geht sogar weiter. ( Leider )
                  Das SAN zählt auch einzeln. Hatte versucht mehrere zu "packen". Leider geht das auch nicht. Irgendwie doof, wenn man bspw sich Zeit ersparen will, kann man nicht den kompletten Server mal "eben so" bestücken mit SSL.

                  Hab jetzt auch einzelne Zertifikate und es läuft ja erstmal. Das ist mir wichtig.

                  wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
                  Ich denke, also BING ich :)


                  Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

                  Kommentar


                    #10
                    Ja Alex, das ist ja noch immer der Punkt wo ich nicht weiter weiß oder mich nicht entscheiden kann. Was würdest Du machen? Ein Server, 14 Domänen.

                    Ein SAN für alle oder 14 einzelne Zertifikate? Hatte das gestern mit einem SAN versucht und dabei eben das Problem mit stratoserver.net bemerkt (geht per --webroot ein Einzelzertifikat aber auch nicht). Wollte das als erstes in der Liste haben, damit das Zertifikat auch so benannt wird und nicht nach irgendeiner Domain.

                    Ansonsten, ohne die stratoserver.net ging das mit 13 Domänen als SAN.

                    Was mich allerdings etwas stört ist, dass ich den Webserver stoppen muss. Das ist das einzige, alles andere finde ich besser. Ein Renew, ein Cron, ein Zertifikat, überall den gleichen Code einbinden.

                    Kommentar


                      #11
                      Kannst du keinen eigenen Hostnamen definieren und das auch reverse? Das ist doch die saubere Lösung...
                      Es gibt dann auch keine Probleme mit Mails. Sind das V´s oder Root? Bei V´s haste natürlich den Nachteil bei Hostnamen. Dafür habe ich ein Script was das bspw per Neustart macht...

                      Ja, es ist kompliziert mit Letsenrypt. 13 Domänen als San sollten gehen, wenn da keine Subs bei sind. Hatte das getestet, hat nicht funktioniert.

                      Ich habe das hier elegant gelöst. halt:
                      Code:
                      letsencrypt-auto -d seo-nw.de
                      etsencrypt-auto -d seo-nw.de

                      und das gleiche für die hosting Seite. Was ist daran elegant und wo liegen die Fehler?
                      Ich habe ja mehrere Domains jetzt hier und auch mit mehreren Subs. Auch kann ich SAN leider nicht nutzen. Das wäre das einfachste das einfach durchzuwinken. Meine "Verwaltung" soll ja bestimmte Sachen automatisieren. Das klappt noch nicht so richtig obwohl in dieser DEV alles gehen sollte. Jetzt grade bspw habe ich die Domains " modifiziert". Da durfte ich flott die SSL neu Symlinken ( automatisch... )

                      Trotzdem ist das ein Aufwand und ich mag laufende Systeme.

                      Es läuft also noch nicht rund, obwohl es "funktioniert". Es liegt nicht an den Zertifikaten selber. Die funktionieren. Doch die Einbindungen und Beschränkungen sind noch dsa Problem.

                      Ich weiss auch nicht was ich davon halten soll mit der Beschränkung. Hätte das für meine eigenen Servern lieber einfacher...

                      wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
                      Ich denke, also BING ich :)


                      Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

                      Kommentar


                        #12
                        Kannst du keinen eigenen Hostnamen definieren und das auch reverse?
                        Gute Frage. Nicht dass ich wüsste. Ich kann Reverse schon ändern, aber der muss dann auf eine offizielle Domain zeigen, was ja nicht vorliegt. Daher nutzte ich ja den Host von Strato ;) Default ist der Hostname von Strato, mit Mails gibt es keine Probleme.

                        Vs oder Root. Beides, ist auch bei beiden identisch. Um den Revers zu ändern brauche ich eine Domäne auf der Maschine. Und gerade wenn die neu ist, dann gibt es die noch nicht, dann nutze ich den Hostnamen zum Testen. Wenn dann alles passt, dann ziehe ich die Domäne um. Ansonsten nutze ich den Hostnamen auch so gerne für Admin-Tools, dann muss man nicht suchen, unter welcher Domäne z.B. der phpma läuft, sondern nimmt einfach den Host und fertig.

                        13 Domänen als San sollten gehen, wenn da keine Subs bei sind.
                        Doch, Subs sind dabei, aber max drei pro Domain. Also das SAN ging zu erstellen, das ist nicht das Problem (halt ohne h20xxxx.stratoserver.net). Ich habe hier eher eine Glaubensfrage, wo es mich hin und her reißt. Und eben den Punkt mit "Apache stoppen".

                        Was ist daran elegant und wo liegen die Fehler?
                        Hm, war das eine Frage an mich?

                        Was elegant ist weiß ich nicht bzw. verstehe es nicht. Fehler ist da bei "letsencrypt-auto -d seo-nw.de" auch keiner zu sehen (gut, eine Kleinigkeit. Du solltest die www mit nehmen.). Ist halt genau der andere Weg, kein SAN. Du nutzt damit also automatisch das --apache - Modul.

                        Das bei Dir ist ja was anderes. Dein ISPConfig erstellt keine SANs für den Server, sondern einzelne Zertifikate per --webroot.
                        Der manuelle Aufruf von letsencrypt-auto --apache erstellt es auch nicht.

                        Nur --standalone macht das und da muss man dann eben in den einen Aufruf alle Domänen mit rein packen. Aber wie gesagt, der Nachteil, Apache stoppen, Zertifikat erstellen lassen, Apache starten.

                        Also kurz gesagt:
                        --webroot: Keine Unterbrechung, kein Server-SAN
                        --standalone: Unterbrechung von ein paar Minuten, Server-SAN möglich (unter Beachtung der max. 5 pro Domain).

                        Kommentar


                          #13
                          P.S. Wegen SAN. Kannste da schauen, eben neu erzeugt. Da läuft eines mit glaube 16 Domänen drinnen

                          *** Link veraltet ***. ferienunterkunft-bodensee.de/

                          Kommentar


                            #14
                            Na ich habe mich unglücklich ausgedrückt. In den SAN waren mehrere Subs drinne. Das wollte dann leider nicht...
                            Die Subs sind von meinem Lieblingsprojekt. Und da hat er gemeckert, was ich nicht verstehe ist Chinesisch.

                            Ja und bei dir sind die drinne mit SAN. Schaut gut aus :D

                            Hab grade an der Firewall geschraubt, ich mache Feierabend für heute...

                            wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.
                            Ich denke, also BING ich :)


                            Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW! Faires Hosting - Alternative Suchmaschinen

                            Kommentar


                              #15
                              Mir stellt sich aber eine neue, ganz andere Frage... Was macht man bei einem Serverumzug? Also ich meine nun nicht eine einzelne Domain umziehen, sondern alle. Das Zertifikat kann man ja nicht mitnehmen, sondern muss es neu erstellen. Das geht auf dem neuen Server und eben per DNS. Doch, was wenn DNS länger braucht und noch auf den alten Host auflöst? So lange das nicht durch ist, kann man kein neues Zertifikat erstellen und das kann ja bekanntlich 48 Stunden dauern ....

                              Kommentar

                              Lädt...
                              X

                              Das Rechtliche
                              Impressum | Widerruf | Datenschutz | Disclaimer | Links