Let's encrypt: Fehler beim aktualisieren mit 'standalone'

tokobe · 15. Januar 2017 um 21:24

Hallo miteinander,

Wenn ich das im Wiki richtig gesehen habe, gibt es eine aktualisierte Version von Let’s encrypt. Die Erneuerung des Zertifikats wird nun von einem certbot gemacht. Die alte Version benutzte dafür im Skript den Befehl “standalone” der nicht mehr unterstützt wird. Ich erhalte etliche Fehlermails vom System, dass das Skript nicht durchläuft:

/opt/letsencrypt/zertifikate_erneuern_letsencrypt.sh: Zeile 1: !/bin/sh: Datei oder Verzeichnis nicht gefunden
* Stopping web server apache2
... waiting    ...done.
WARNING: The standalone specific supported challenges flag is deprecated.
Please use the --preferred-challenges flag instead.
WARNING: The standalone specific supported challenges flag is deprecated.
Please use the --preferred-challenges flag instead.
An unexpected error occurred:
Bug in pythondialog: expected an empty output from u'infobox', but got: u'Error opening terminal: unknown.\n'Please see the logfile 'certbot.log' for more details.
 * Starting web server apache2
   ...done.
 * Stopping OpenLDAP slapd
   ...done.
 * Starting OpenLDAP slapd
   ...done.

Inhalt von /opt/letsencrypt/zertifiakte_erneuern_letsencrypt.sh:

!/bin/sh
   service apache2 stop
   cd /opt/letsencrypt
   ./letsencrypt-auto certonly --renew-by-default --standalone --standalone-supported-challenges tls-sni-01 --email administrator@rs-kollnau.de -d server.rs-kollnau.de
   service apache2 start

   cd /etc/letsencrypt/live/server.rs-kollnau.de
   cat privkey.pem >> server.pem
   cat cert.pem >> server.pem
   cat chain.pem >> server.pem
   service slapd stop
   mv /etc/ssl/private/server.pem /etc/ssl/private/server.pem.before.letsencrypt
   mv server.pem /etc/ssl/private/
   cd /etc/ssl/private
   chown root:ssl-cert server.pem
   chmod 640 server.pem
   service slapd start

Also sehe ich zwei Möglichkeiten: Das Skript anpassen oder die neue Version einrichten. Für beide Fälle bräuchte ich aber Unterstützung, ich bin ehrlich gesagt etwas überfragt, wie ich vorgehen müsste.
Vielen Dank für Eure Hilfe und Lösungen evtl. Kann ja die Anleitung im Wiki auch angepasst werden?!

Thomas

jrichter · 16. Januar 2017 um 06:41

Hallo Thomas,

das certbot-Skript ist die offizielle Weiterentwicklung von letsencrypt. Laut Dokumentation kennt es auch noch die Variante standalone.

Es sollte kein Problem sein, einfach die alte Anleitung rückwärts abzuwickeln und dann nach der neuen certbot zu installieren. Dabei bekommst Du eventuell neue Zertifikate, aber das wäre ja egal.

Viele Grüße

Jörg

tokobe · 16. Januar 2017 um 20:03

Hallo Jörg,

Nach deinem Hinweis habe ich mich an die Sache herangewagt. Das certbot-Skript war deutlich einfacher zu installieren als die alte Variante. Das neue Zertifikat ist erstellt und eingespielt und da das alte am Mittwoch ausgelaufen wäre, habe ich zeitnahe Chancen zu sehen, ob wirklich alles klappt am 16.04. wird es wieder spannend, dann müsste das Zertifikat automatisch getauscht werden…
Viele Grüße

Thomas

ironiemix · 17. Januar 2017 um 18:21

Ein Tipp: Ich verwende für letsencrypt auf ~10 Servern nur noch dehydrated:

Das ist ein extrem convenientes Shell-Skript.

Der Artikel in diesem Blog

https://www.splitbrain.org/blog/2016-05/14-simple_letsencrypt_on_debian_apache

erklärt wie man das einsetzt, allerdings noch anhand der „Vorgängerversion“, die noch nicht dehydrated geheissen hat.

wilfried · 18. Januar 2017 um 11:50

Hallo Thomas,

ich habe die owncloud auf einem 16.04 Server laufen und die
Zertifikatserneuerung nach dieser Anleitung (Stichwort “renew”) gemacht:
https://kofler.info/lets-encrypt-zertifikate-fuer-web-und-mail-unter-ubuntu-16-04/
Das läuft problemlos, vielleicht ja auch auf 12.04 oder 14.04.

Viele Grüße

Wilfried