Testserver mit Lets Encrypt und PHP7 online

Also wäre schön, wenn Du die drei Einträge mal verfolgen könntest, wo hin die auflösen. Von letsencrypt gibt es vier Files, die drei von mir oben und die fullchain. Was nämlich verwunderlich ist ist, dass Apache erst ab Versin 2.4.8 mit der fullchain umgehen kann, dann aber das SSLCertificateChainFile nicht mehr benutzt werden darf. Wichtig ist vor allem, auf was das SSLCertificateFile zeigt.

Ansonsten läuft es bei mir nun auch. Und ich muss sagen, per Auto-Script wäre das nie gegangen.... Meine Verzeichnisse sind anders, das Doc-Root teilweise gesperrt etc. Das musste ich extra für die "acme-challenge" freigeben.

Was ich mit meinen ganzen ca. 60 CNAME mache, die auf den gleichen vHost zeigen, nunja, mal sehen. Der Test jetzt ist absichtlich live auf dem System und ich werde das Zertifikat nicht erneuern. Ich will wissen, was passiert, wenn das nicht erfolgt.

Ach ja, ist die Bodensee-Seite, aber nicht umgeleitet, inkl. www, ohne www und die drei Subs img0, img1, img2 (3 der 60 CNAMEs). Die Seite selbst liegt auf Debian7 mit Apache-Prefork und PHP-Modul. Die Subs auf Debian8 mit Apache-Event und PHP-FPM.

Dann noch Piwikserver und drei andere Test / Dummy-Seiten auch noch, um mehrere Domänen auf einer IP zu testen.

Nachtrag Thema renew:
In der Doku steht, man soll dafür den gleichen letsencrypt-auto aufrufen wie bei der ersten Erzeugung. Gut, das stimmt. Ändert man irgenwas, dann will er die Domänen zusammenführen oder fragt nach der Email. Aber!!!! Auch wenn der Aufruf exakt gleich ist, muss ma den Renew bestätigen. Wie soll das denn gehen per Cron?

Und welchen Wert müsste der Cron haben? 90 Tage ist es gültig. Also sage ich mal gedanklich 60 Tage. Nur was ist, wenn der Aufruf fehlschlägt? Der nächste Durchlauf wäre ja erst wieder 60 Tage später, also zu spät...

Also letsencrypt ist echt mit Vorsicht zu genießen und das wohl auch, wenn es nicht mehr Beta ist....

Was ich gar nicht gut finde ist, dass Letsencrypt automatisch Pakete installiert und aktualisiert, ohne zu fragen oder es zumindest zu erwähnen. Auch bei einem Renew werden Pakete aktualisiert, eben passiert, auf einem Server, der gestern erst komplett geupdatet wurde.

Das gefällt mir irgendwie gar nicht....

Und auf einem anderen Server hat es wohl was komplett verhauen....

Manuell das Update gemacht, läuft, alles fehlerfrei.

Dann letsencrypt installiert und ausgeführt. Wie schon vorher immer, Installation von weiteren Paketen.

Nur, diesmal, also 30 Minuten nach meinem manuellen Update, waren die Paketdienste angeblich nicht erreichbar, weder Strato noch Debian selbst. Seltsam...

"Verbindung mit ftp.de.debian.org:80 nicht möglich (141.76.2.4) - connect (110: Die Wartezeit für die Verbindung ist abgelaufen)"

Trotzdem wurde installiert:

"E: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt."

Es hagelte Fehler, doch das Script lief einfach weiter ...

Dann kam das

"Creating virtual environment...
Updating letsencrypt and virtual environment dependencies..."

Normalerweise läuft das ja bis 6 Punkte am Ende durch, dann kommt E-Mailabfrage etc. Nix da. Bleibt bei drei Punkten stehen und nichts geht mehr.

Soviel also zu Software, die ohne Nachfragen einfach was tut ...

Boa, nun 4 Stunden später, mein dritter Server läuft wieder. Gut, lief die ganze Zeit, aber nichts ging mehr. Konnte nicht updaten, nichts neues installieren, nichts. Was das vermutlich war? Ich schätze mal ein fehlerhaftes apt-get update, das während der Laufzeit beendet wurde. Die ganzen Paketlisten waren hinüber.

Finde ohnehin unschön, dass da per default apt-get genommen wird und nicht das auf dem System bevorzugte Tool. Ich habe aptitude! Dieser Mischmasch macht die ganze Paketverwaltung bzw. Abhängigkeitenauflösung "unsauber".

Aufgefallen ist mir nun aber auch noch, dass letsencrypt sogar eine neue Paketliste hinzufügt: Backports! Die hatte ich vorher nie und wollte die auch nicht haben. In der Doku steht da auch kein Wort von drinnen. Also wirklich transparent und offen finde ich das alles nicht. Für mich läuft da zu viel im Hintergrund ab, von dem man nichts mitbekommt.

Aber, das ist das Gute daran, die Seite wo ich wollte ist umgestellt: *** Link veraltet *** Bin mal gespannt ob sich das nun auch im Ranking auswirkt, wie immer behauptet wird. Die ist nämlich mit mehreren P1-Keys mittlerweile auf P3-P5 gefallen.

[USER="49"]Alex07[/USER] kannst Du mal ein wenig mehr über den Server und dessen vHosts bzw. Zertifikate erzählen? Ich meine, wir wollen es doch verstehen und auch optimal nutzen, oder? Bei mir geht deine free-ssl.org auf dem Smartphone nicht. Android 2.3.7, Zertifikatsfehler. Angeblich ausgestellt für alex-sucht-frau.de. Meine Geranien-Seite geht aber, also muss es da Unterschiede geben.

Anmerkung: Rufe ich die alex-sucht-frau.de auf, dann meldet er wieder einen Fehler, angeblich nur gültig für statistik-online und nicht mehr gültig. Angeblich abgelaufen am 10.1.16. Rufe ich aber statistik-online auf, dann ist allen in Ordnung.

Die anderen Nutzer hier: Sind hier welche, die noch einen IE6 haben oder einen IE8 mit WinXP? Wichtig, keinen Emulator, sondern einen nativen IE.

wenn ja, dann bitte mal testen; free-ssl.org und geranien-pflanzen.de und schreiben, was passiert.

Ja, das Android ist alt, keine Frage, aber das ist zumindest bei meinen Nutzern noch zu 7% in Verwendung.Zudem scheint es allgemein noch beachtet zu werden denn es wird auch von GlobalSign bei der "Handshake Simulation" berücksichtigt. Danach kommt erst wieder Android 4.0.4.

Das Problem mit dem Android 2.3.7 ist, dass es kein SNI unterstützt, genauso wie Windows XP. Daher die Frage nach Deiner Konstellation. Ich habe ja auch mehrere Domänen auf einer IP, ich habe aber Einzelzertifikate. Und da geht die Seite.

CN: https://beispiel.rocks/beispiel.rocks…ucht-frau.de%22
DNS-Name: https://beispiel.rocks/beispiel.rocks…ucht-frau.de%22
DNS-Name: https://beispiel.rocks/beispiel.rocks…k-online.org%22
DNS-Name: alex-sucht-frau.de
DNS-Name: statistik-online.org
DNS-Name: free-ssl.org
DNS-Name: https://beispiel.rocks/beispiel.rocks/www.free-ssl.org%22

Genau das wäre eine meiner nächsten Fragen gewesen, was wohl besser ist. Ein Zertifikat für den ganzen Server mit allen Domänen drinnen oder für jeden vHost ein eigenes. Letztes mache ich derzeit. Warum weiß ich nicht so genau, aber ich stelle es mir einfacher vor, wenn mal eine Domain weg geht oder eine neue kommt. Dann muss man nicht das Zertifikat für alle ändern, sondern einfach ein neues für die neue Domain erstellen. Andererseits muss man dann aber auch alle erneuern und nicht nur eines, wenn die 90 Tage erreicht sind.

Wegen dem Update.... Wenn ich das richtig verstanden habe, dann muss man nicht neu mit git clonen. Ein Aufruf von letsencryt reicht aus, das updatet sich selbst.

z:b. einfach auch mit: ./letsencrypt-auto --version --debug

Bei mir ist kommt dann:

Updating letsencrypt and virtual environment dependencies...
Requesting root privileges to run with virtualenv: /root/.local/share/letsencrypt/bin/letsencrypt --version --debug
letsencrypt 0.3.0

Dann frag! Vielleicht sind das ja die gleichen Fragen, die ich auch habe

Also ja, der Fullchain wird immer angelegt. Die Frage damals war ja, ob er auch genutzt wird bei Dir In gewissen Konstellationen muss man den Fullchain verwenden.

Bei den anderen Dingen stehe ich nun etwas ratlos da. Ich lese überall ISPCONFIG, aber weder Du noch ich wissen, was die Software überhaupt macht und wie die letsencrypt anspricht.

"Die Zertifikate die ich ausgestellt habe, die sollten ja für die Domains die ich ausgewählt habe gelten. Jetzt gibt es das Problem ( vielleicht auch weil ich damit etwas expirimentiert habe ) das die Zertifikate unterschiedlich sind, was die aber nicht sein sollten."
Was heißt denn "unterschiedlich"?

"Die Zertifikate die ich ausgestellt habe, die sollten ja für die Domains die ich ausgewählt habe gelten."
Du meinst also ein Zertifikat für alle Domänen zusammen, oder?

Ich meine, ob man für domain1.de, domain2.de und domain3.de drei Zertifikate bekommt oder nur eines liegt ja unter anderem auch am Aufruf von letsencrypt-auto. Gibt man dort nur einen Pfad an, was bei -standalone z.B. möglich ist oder eventuell auch bei Deinem ISP-Modul, dann wird ein Zertifikat für alle Domänen erstellt. Bei der Prüfung greift der dann auf den temporären vhosts zu, auf den alle Domänen zeigen.

Nutzt man aber -webroot mit unterschiedlichen Pfaden zu den vHosts, dann werden gleichzeitig drei Zertifikate ausgestellt.

Edit: Post hat sich überschnitten

Mal eine bölde Frage zwischendurch. Hattest Du eigentlich eine /etc/letsencrypt/cli.ini ?? Bei mir war da keine vorhanden, musste die selbst anlegen.

Also wenn die cli.ini stimmt, dann nutzt der --webroot. Seltsam aber, dass dort 4096 bit steht, Dein Zertifikat aber 2048 hat ?

Daher frage ich, denn Dein ISP-Modul hätte die cli.ini anlegen müssen und dort wird definiert, was genutzt wird zur Erstellung der Zertifikate. Unter anderem auch der "schweigen"-Modus oder das "nicht Nachfragen", was man für den renew braucht.

Wenn ich das Script aber richtig deute, dann müsste das Dir für jede Domain ein eigenes Zertifikat anlegen. Wobei bei einer Domain alle zugehörigen Subs mit dazu gehören. So ein Kombizertifikat mit allen Domänen scheint da irgendwie nicht möglich, oder ich finde es nicht.

$this->_exec("/root/.local/share/letsencrypt/bin/letsencrypt auth -a webroot --email postmaster@$domain --domains $lddomain --webroot-path $webroot");

Mich wundert nur etwas der Aufruf von "/root/.local/share/letsencrypt/bin/letsencrypt", dann laut letsencrypt soll man den nicht verwenden, der wäre nur was für Entwickler.