SSL mit LetsEncrypt ganz einfach - linuxmuster-dehydrated zum Test verfügbar

letsencrypt
ssl

#21

Hallo Tobias,

Muss ich für die automatische Weiterleitung des (neuen) Zertifikats an einen anderen Server (z.B. cloudserver) noch irgendwelche zusätzlichen Einstellungen vornehmen? Oder reicht der Befehl, wie du ihn gepostet hast?

VG Daniel


#22

Hallo Daniel,

das hängt natürlich von deiner Verbindung server -> cloud-server ab.
Bei mir im Beispiel wuerde der cloudserver “cloud” heissen und ein passwortloses einloggen von root zu root muss gewaehrleistet sein.
Dann: ja dann funktioniert der befehl (du musst aber die kommentarzeichen entfernen)…

tatsaechlich sieht es so aus bei mir:


chmod 0640 $TARGETDIR/server.pem
chown root:ssl-cert $TARGETDIR/server.pem

echo "   + Restart services"
service apache2 reload
service slapd restart
service cyrus-imapd reload

echo "   + Copy to cleese, restart apache2 there"
rsync -avP $TARGETDIR/server.pem cleese:/etc/ssl/private/server.pem
ssh cleese service apache2 reload

echo "   + Copy to ipfire, restart pound there"
rsync -avP $TARGETDIR/server.pem ipfire:/etc/ssl/certs/server.pem
ssh ipfire /etc/init.d/pound restart

#23

Hallo Tobias,

Einloggen von root nach root mit Passwort funktioniert bei mir. Wie schaffe ich das passwortlos?

VG Daniel


#24

Hallo Daniel,

passwortlos funktioniert so: private/public-key (gibt es schon), dann wird der public-key auf den Ziel-rechner in die Datei “.ssh/authorized_keys” kopiert werden.
Es gibt ein Befehl der das macht:

cd /root
ssh-copy-id -i .ssh/id_ecdsa.pub target-rechner:
Now try logging into the machine, with "ssh 'target-rechner'", and check in:

  ~/.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

Dann sollte es funktionieren.

VG, Tobias


#25

19 Beiträge wurden in ein neues Thema verschoben: Zertifikat für Subdomain mit linuxmuster-dehydrated klappt nicht?


#26

Hi @Tobias
Ich habe gerade deine hook.sh benutzt, damit die Zertifikate direkt an die richtige Stelle kopiert werden und die entsprechenden Dienste neu gestartet werden. Dabei kam heraus:

linuxmuster-dehydrated --cron
# INFO: Using main config file /etc/linuxmuster-dehydrated/config
Processing server.intern.example.org
 + Checking domain name(s) of existing cert... unchanged.
 + Checking expire date of existing cert...
 + Valid till Jun 27 18:27:20 2018 GMT (Longer than 30 days). Skipping renew!
 + Hook unchanged_cert...
/etc/linuxmuster-dehydrated/hook.sh: Zeile 63: unchanged_cert: Kommando nicht gefunden.

Offenbar fehlt dieser (und weitere) Handler im Script noch, oder? Hast du das nochmal erweitert oder ist diese Version der Stand der Dinge?

Nachtrag: Wenn man unter /etc/linuxmuster-dehydrated/certs alles löscht und es nochmal anwirft, läuft es erfolgreich durch. ENDLICH auch intern ein gültiges Zertifikat. Super!

Ich habe an vielen Stellen einfach http(s)://10.16.1.1 verlinkt, was natürlich (weiterhin) dazu führt, dass das Zertifikat als “unsicher” eingestuft wird (self-signed). Für die IP 10.16.1.1 kann das man auf diesem Weg natürlich nicht hinbekommen, aber habt ihr bei euch evtl einen redirect wie

Redirect permanent / https://server.intern.example.org/

in der apache-conf?? Oder spricht etwas dagegen?

Schöne Grüße,
Michael


#27

Hi. Ich pushe die Frage nochmal nach oben … habe aber gleichzeitig eine kleine Ergänzung:

Es gibt evtl auch einfachere Lösungen für die ganzen LetsEncrypt-Zertifikate, die man holen/erneuern/verteilen muss. Ich bin über diese Seite gestolpert:

CaddyServer (ein „Webserver“ mit eingebautem ACME-Client) --> https://caddyserver.com/

Hat das mal jemand ausprobiert?
Schönen Gruß,
Michael


#28

Hallo,
vielen Dank! Funktioniert mit Änderung wunderbar.
Was musste ich ändern?
Im Paket für lmn6.2 ist die hooks.sh nicht aktuell; enthält das umkopieren nicht.
Ich habe die von github genommen , das cert-Verzeichnis gelöscht/umbenannt und nochmal den Befehl linuxmuster-dehydrated --cron ausgeführt. Jetzt wurden die wieder neu erstellten Zertifikate nach /etc/ssl/private kopiert und alles ist paletti.

Viele Grüße ,
Helge