Let's Encrypt

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Update:

    Ich habe mir das noch auf anderen System angeschaut, je nach Einstellung der UAC
    kann es zu Problemen kommen (Pfadangaben).
    Und wenn man die Zertifikatskette übergeben möchte waren noch Anpassungen nötig.
    Jetzt wird immer eine wbcert.pem mit der komplette Zertifikatskette erzeugt.

    Diese beiden Scripte laufen sauber und erzeugen die passende wbcert.pem

    Shell-Script: Install.bat

    1. set /p domain=[Fuer welche Domain soll ein Zertifikat erzeugt werden?]
    2. set /p davidinstall=[Wohin wurde David installiert?]
    3. NET STOP "David Webbox"
    4. START "" /B "c:\ssl\python.bat"
    5. START "" /WAIT "c:\ssl\letsencrypt.exe"
    6. TASKKILL /IM python.exe /F
    7. type c:\ssl\certs\%domain%-key.pem > c:\ssl\certs\wbcert.pem
    8. type c:\ssl\certs\%domain%-chain.pem >> c:\ssl\certs\wbcert.pem
    9. move "%davidinstall%\Apps\Webbox\Code\wbcert.pem" "%davidinstall%\Apps\Webbox\Code\wbcert_old.pem"
    10. copy c:\ssl\certs\wbcert.pem "%davidinstall%\Apps\Webbox\Code"
    11. NET START "David Webbox"
    Alles anzeigen


    Shell-Script: update.bat

    1. @echo off
    2. set domain="subdomain.kunde.tld"
    3. set davidinstall="David Root"
    4. NET STOP "David Webbox"
    5. START "" /B "c:\ssl\python.bat"
    6. START "" /WAIT ""c:\ssl\letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/""
    7. TASKKILL /IM python.exe /F
    8. timeout /t 5
    9. type c:\ssl\certs\%domain%-key.pem > c:\ssl\certs\wbcert.pem
    10. type c:\ssl\certs\%domain%-chain.pem >> c:\ssl\certs\wbcert.pem
    11. del "%davidinstall%\Apps\Webbox\Code\wbcert.pem"
    12. copy c:\ssl\certs\wbcert.pem "%davidinstall%\Apps\Webbox\Code"
    13. NET START "David Webbox"
    14. exit
    Alles anzeigen


    Quellcode: python.bat

    1. c:\ssl\python.exe -m http.server 80



    Hintergrund: In der %domain%-chain.pem sind alle Zertifikate als Zertifikatskette gespeichert, daher fehlt für eine Vollständige
    wbcert.pem nur noch der Private Key welcher in der der %domain%-key.pem steckt.

    Die Aufgabe "letsencrypt-win-simple httpsacme-v01.api.letsencrypt.org" im Aufgaben Planer bitte noch anpassen:
    Unter Aktionen -> Programm starten -> Dort bitte die call_update.cmd aus dem c:\SSL Verzeichnis auswählen.
    Unter Allgemein sollte "Unabhängig von der Benutzeranmeldung ausführen" ausgewählt sein.

    Anbei der Link zur aktuellen Version:

    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von stylistics ()

  • In der Tat, die hängenden Konsolenfenster im Taskmanager hatte ich auch, aber keine hängende letsencrypt.exe.

    Nachdem ich jetzt auch auf die call_update.bat von stylistics umgestellt habe, sind auch die Konsolenfenster nicht mehr vorhanden.
    Soweit scheint ja dann alles i.O. zu sein. Für einen Live-Einsatz in Kundensystemen werde ich aber wohl noch zumindest bis zum Ablauf des Zertifikats warten und schauen, ob auch wirklich eine automatische Aktualisierung stattfindet.

    Ansonsten auch von mir noch einmal herzlichen Dank an alle Beteiligten. Meiner Meinung nach ist es ein Trauerspiel, dass Tobit dies nicht selbst anbietet. Aber die sollen besser erst einmal zusehen, dass sie alle Funktionen des alten Clients in die Dekade 3 rübergeschaufelt bekommen...

    Das mache ich glaube ich jetzt zur Voraussetzung dafür, wann ich das nächste Rollout installiere: sobald ich im Administrator unter WebBox einen Tab mit der Aufschrift "Let's Encrypt" finde.

    Grüße
    Michael
  • fn0rd schrieb:

    hatte ich auch, aber keine hängende letsencrypt.exe
    Ich denke, das lag bei mir daran, dass die letsencrypt.exe in einen Fehler gelaufen ist und "versteckt" auf einen Tastendruck wartete o. ä.. Kann ich nicht mehr nachvollziehen oder reproduzieren, kam vermutlich vom intensiven Herumspielen (einmal lief der Update-Batch sogar parallel doppelt, schluck...)

    fn0rd schrieb:

    Ansonsten auch von mir noch einmal herzlichen Dank an alle Beteiligten.
    Definitiv! Richtig gute Aktion! :)

    fn0rd schrieb:

    Meiner Meinung nach ist es ein Trauerspiel, dass Tobit dies nicht selbst anbietet.
    Zumal der Gedanke ja offensichtlich schon vorhanden war - eigentlich kann's nicht so schlimm sein, das in die Webbox zu implementieren. Wenn man böse denkt, könnte es natürlich sein, dass kostenlose Erweiterungen nicht erwünscht sind und man lieber selbst Zertifikate anbieten/verkaufen möchte. Oder man hält die Vorarbeit mit dem Setzen von A-Record bzw. CNAME für zu support-anfällig. Keine Ahnung.
  • So nachdem ich mich mal hier durch gelesen habe und kein TObit Partner wie die meisten hier bin, sondern selbst "Kunde" demnach nicht ganz so versiert bin frag ich lieber nochmal :D

    Und zwar hab ich mir die erste Anleitung durchgelesen, ist verständlich usw.
    Nun hat @stylistics etwas verändert/verbessert, allerdings weiß ich nun nicht genau wo ich starten soll :D

    Was genau muss ich nun von stylistics nehmen und was noch vom ersten Code/bzw. Anleitung?
  • nordtech schrieb:


    Wenn man böse denkt, könnte es natürlich sein, dass kostenlose Erweiterungen nicht erwünscht sind und man lieber selbst Zertifikate anbieten/verkaufen möchte. Oder man hält die Vorarbeit mit dem Setzen von A-Record bzw. CNAME für zu support-anfällig. Keine Ahnung.
    Ich würde eher auf die erste Option tippen. Denn wenn man nicht ausgerechnet den SLS von Tobit einsetzt, hat man die Arbeit ja ohnehin schon erledigt. Und selbst wenn man SLS einsetzt, sollte das kein Problem sein. Ich vergleiche das jetzt einfach mal mit dem 3CX Phone System. Bei der Installation der virtuellen Appliance legt man seine Subdomain fest, das wird dann umgesetzt auf sowas wie firmenname.3cx.de. Für den Fall einer dynamischen IP wird automatisch die Appliance selbst für diese Domain zu einem DynDNS-Client, der IP und Subdomain immer aktuell hält. Und gleich der nächste Schritt ist die (vollautomatische) Erstellung eines Zertifikats von Let's Encrypt, das automatisch bei Ablauf verlängert wird. Obendrein gibt es dann noch eine automatische Statusmail, die über die erfolgte Verlängerung informiert. Der ganze Prozess ist im Prinzip nicht mehr als persönliche Daten eingeben und weiter - weiter - fertigstellen klicken (gut, mal abgesehen von der Erstellung der Portfreigaben in der Firewall).

    Also, wenn man will dann geht das.
  • lycra schrieb:

    So nachdem ich mich mal hier durch gelesen habe und kein TObit Partner wie die meisten hier bin, sondern selbst "Kunde" demnach nicht ganz so versiert bin frag ich lieber nochmal :D

    Und zwar hab ich mir die erste Anleitung durchgelesen, ist verständlich usw.
    Nun hat @stylistics etwas verändert/verbessert, allerdings weiß ich nun nicht genau wo ich starten soll :D

    Was genau muss ich nun von stylistics nehmen und was noch vom ersten Code/bzw. Anleitung?

    Im Prinzip gilt die Anleitung von Murmelbahn weiter, nur folgende Abweichungen sind nötig:

    1. den Inhalt von install.bat und update.bat mit den Änderungen von stylistics überschreiben (siehe Post 42)
    2. die zusätzliche Datei call_update.cmd in Verzeichnis C:\SSL erstellen und folgenden Inhalt einfügen:

    Quellcode: call_update.cmd

    1. @echo off
    2. cmd.exe < c:\ssl\update.bat
    3. exit
    Danach sieht die aktualisierte Anleitung so aus:

    Anlegen einer Subdomain beim DNS Provider des Kunden. Beispielsweise mail.domain.tld. Diese muss auf die externe IP des Kunden bzw dessen DynDNS zeigen.
    Kopieren des Skriptes SSL.zip auf Laufwerk C des David Servers des Kunden.
    Entpacken des Skriptes, alle Inhalte müssen unter C:\SSL auf dem David Server des Kunden liegen.
    SSL.zip löschen.
    Sicherstellen das Port 80 in der Firewall auf den David Server geforwarded wird.
    C:\SSL\INSTALL.bat als Administrator ausführen.
    Das Skript fragt nach der Domain unter der die Webbox angesprochen werden soll. Beispielsweise mail.domain.tld.
    Das Skript fragt nach dem Pfad zur David installation. Beispielsweise D:\David, C:\David. Wichtig: Keinen Backslash am Ende des Pfades eintragen.
    Anschließend wird die Webbox beendet.
    Als nächstes fragt das Lets Encrypt Script nach einer Mail Adresse an die Mails geschickten werden sollen wenn das Zertifikat abläuft. Hier am besten [email=info@]info@ [/email]angeben.
    Im Hauptmenü der Anwendung "M: Generate a certificate manually" auswählen.
    Nun den Namen der Subdomain für die das Zertifikat generiert werden soll eingeben: mail.domain.tld.
    Die Abfrage nach dem site path mit Enter bestätigen.
    Die nächste Abfrage mit "N" beantworten.
    Ein letztes mal "Enter" beendet das Script


    Unter C:\SSL\Certs sind alle Files wie Certificate, Key und Request. Hier nichts löschen! Bei beenden des Scripts wurde eine wbcert.pem erstellt und in das Verzeichnis der Webbox kopiert, falls bereits eine
    wbcert.pem vorhanden war wird die in wbcert_old.pem umbennant.


    Im David Administrator -> Webbox -> Konfigurieren -> Domain mail.domain.tld eintragen.
    Webbox neu starten
    Als nächstes unter C:\SSL\UPDATE.bat bearbeiten.
    Unter set domain den Namen der Subdomain eintragen.
    Unter set davidinstall den Pfad zur David Installation ohne Backslash am Ende eintragen.
    Das File speichern.
    In die Aufgabenplanung des Servers gehen.
    Den Task "letsencrypt-win-simple httpsacme-v01.api.letsencrypt.org" bearbeiten.
    Den Radiobutton unter "Allgemein" bei "Unabhängig von der Benutzeranmeldung" setzen.
    Unter "Aktionen" "Programm starten" bearbeiten.
    Programm/Skript= C:\SSL\call_UPDATE.cmd
    Argumente müssen gelöscht werden.
    Mit "Ok" bestätigen.
  • Bei mir kommt es zu einer Fehlermeldung:


    Quellcode

    1. Submitting answer
    2. Refreshing authorization
    3. Authorization Result: invalid
    4. Authorization Failed invalid
    5. ******************************************************************************
    6. The ACME server was probably unable to reach http://mail.domain.tld
    ich habe meine subdomain mail.domain.tld eingerichtet.
    Ich kann diese im Browser aber nicht öffnen, allerdings funktioniert es wenn ich am smartphone die subdomain als Exchange Server angebe.
    Heißt das ich muss erst in meinem Lancom 1783VAW noch etwas einstellen?
    @stylistics vielleicht hast du einen kurzen Hinweis weil du den ja mal eingerichtet hast :D
  • Port 80 extern auf den david Server Port 80 weiterleiten. Davor prüfen das kein anderer Dienst auf dem Port 80 lauscht. Und prüfen
    das die Windows Firewall den Port nicht blockt.

    Ich finde das über Lets encrypt ja ganz nett,
    in Zeiten wo ich für 27$ ein Zertifikat für drei Jahre bekomme, lohnt sich das fast nicht (als Dienstleister).

    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)
  • fn0rd schrieb:

    In die Aufgabenplanung des Servers gehen.
    Den Task "letsencrypt-win-simple httpsacme-v01.api.letsencrypt.org" bearbeiten.
    Den Radiobutton unter "Allgemein" bei "Unabhängig von der Benutzeranmeldung" setzen.
    Unter "Aktionen" "Programm starten" bearbeiten.
    Programm/Skript= C:\SSL\call_UPDATE.cmd
    Argumente müssen gelöscht werden.
    Mit "Ok" bestätigen.
    Auch diese Aufgabe finde ich nicht, wurde wahrscheinlich nicht hinzugefügt weil das install.bat nicht korrekt zu Ende gelaufen ist.


    stylistics schrieb:

    Port 80 extern auf den david Server Port 80 weiterleiten. Davor prüfen das kein anderer Dienst auf dem Port 80 lauscht. Und prüfen
    das die Windows Firewall den Port nicht blockt.
    Muss ich mal schauen, mal lancom Anleitung gucken :D


    stylistics schrieb:

    Ich finde das über Lets encrypt ja ganz nett,
    in Zeiten wo ich für 27$ ein Zertifikat für drei Jahre bekomme, lohnt sich das fast nicht (als Dienstleister).
    Aso du meinst, der "aufwand" ist nicht gerechtfertig und würdest trotzdem lieber das zertifikat kaufen? Klar sind die Kosten nicht hoch.. Aber wenn es einmal eingestellt ist und funktioniert doch gnaz nett ;)
  • So ;) auch wenn Doppelpost der Ordnung halber :D


    Also es hat geklappt nachdem ich den Port im Lancom freigegeben habe.
    Nun habe ich ein neue SSL Zertifikat und habe ein A- im SSL Test erhalten von ssllabs.com/

    Das - wegen: The server does not support Forward Secrecy with the reference browsers. Grade reduced to A-.

    blog.qualys.com/ssllabs/2013/0…deploying-forward-secrecy

    Habt ihr das auch?

    So nu fehlt mir nur noch die Aufgabenplanung :D
    und das finde ich leider nicht... Kann mir da jemand helfen und sagen wieso das bei mir nicht angezeigt wird?

    EDIT:

    Beim zweiten mal auf Install.bat hat er mich übrigens nicht mehr nach meiner Email adresse gefragt.
    Ist das dann richtig?! Hatte er die noch irgendwo gespeichert?

    EDIT 2:
    Aufgabe nun gefunden :D

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von lycra ()

  • lycra schrieb:

    Aso du meinst, der "aufwand" ist nicht gerechtfertig und würdest trotzdem lieber das zertifikat kaufen? Klar sind die Kosten nicht hoch.. Aber wenn es einmal eingestellt ist und funktioniert doch gnaz nett
    So lange der "Ist Stand" bei lets encrypt so bleibt ist alles gut, ändert sich was, muss man wieder ran.
    Ein Zertifikat kauf mal einmal für z.B. drei Jahre (27€) und gut ist, und ich kann es ohne großen Aufwand
    für andere Dienste verwenden.

    Aber das ist immer Ansichtssache, und eine frage des Preises.
    Ich finde es super das man sich die Zeit genommen hat dies zu entwickeln, da sollte Tobit.Software ein Beispiel
    nehmen, und es auch umsetzten.

    PS: Tobit Verkauft keine Webserver Zertifikate, sondern eMail (S/MIME) Zertifikate (von D-Trust).

    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)
  • Ja das ist natürlich eine super Anleitung weiß abe rwas du meinst ;)


    Nun hab ich folgendes Problem.
    Seit dem ich umgestellt habe auf lets encrypt hab ich eben folgende Fehlermeldung erhalten:




    Um exakt 9 uhr findet das Update per Lets encrypt statt.

    Sprich es hat damit etwas zu tun.

    Hat jemand anders auch diesen Fehler bzw weiß wie man den beheben kann?
  • Die Meldung bekommst du meist immer dann, wenn die Webbox den Port nicht benutzen konnte
    da dieser von einer anderen Anwendung schon benutzt wird.

    Schon mal geprüft ob eine andere Dienst auf dem Port 443 läuft, oder es zumindest versucht?

    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)
  • Quellcode

    1. (00000764) New Socket
    2. (00000764) ReUseAddr : 1
    3. (00000764) OutOfBandDataInline: 1
    4. (00000764) KeepAlive : 5 minutes
    5. (00000764) Socket Bound to Port 80
    6. (00000764) listen
    7. WebBox Active
    8. (00000780) New Socket
    9. (00000780) ReUseAddr : 1
    10. (00000780) OutOfBandDataInline: 1
    11. (00000780) KeepAlive : 5 minutes
    12. (00000780) Socket Bound to Port 843
    13. (00000780) listen
    14. (00000792) New Socket
    15. (00000792) ReUseAddr : 1
    16. (00000792) OutOfBandDataInline: 1
    17. (00000792) KeepAlive : 5 minutes
    18. (00000792) Socket Bound to Port 443
    19. (AC) Certificate state: \\server\david\apps\webbox\code\wbcert.pem
    20. (AC) Certificate state failed!
    21. Using TLS file (\\server\david\apps\webbox\code\wbcert.pem)
    22. Error loading certificate chain file! TLS not available (\\server\david\apps\webbox\code\wbcert.pem)
    23. (00000800) New Socket
    24. (00000800) ReUseAddr : 1
    25. (00000800) OutOfBandDataInline: 1
    26. (00000800) KeepAlive : 5 minutes
    27. (00000800) Socket Bound to Port 81
    28. (00000800) listen
    29. WebBox Second Port Active
    Alles anzeigen
    Grade mal geguckt, also im Status Monitor steht folgendes.

    Und im Lancom ist 80, 267 (replizieren), und 443 freigegeben.

    Wie kann ich denn gucken ob 443 schon genutzt wird? hab ich nicht gefunden mhh
    Bilder
    • lancom.JPG

      36,6 kB, 685×220, 15 mal angesehen
  • Du bekommst die Meldung von der Webbox, daher geht es um einen Dienst auf dem Server.

    Wenn du nen IIS drauf hast, dann kannst du das über den IIS Manager prüfen, ob er eine solche Bindung hat.

    Oder du deaktivierst mal die Webbox und startest den Server neu, dann werden die Dienste geladen und du kannst über den Browser prüfen ob und was läuft.

    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)
  • Diesen Fehler hatte ich heute auch. Das liegt nicht am Port sondern am Zertifikat. Bei der Aktualisierung in der Nacht ist in die wbcert.pem nur der RSA Private Key kopiert worden, der Rest aus der %domain%-chain.pem fehlte komplett. Bei erneuter manueller Ausführung war die wbcert dann wieder vollständig und konnte geladen werden.

    Komische Sache, ich habe dafür noch keinen Grund finden können.
  • stylistics schrieb:

    Du bekommst die Meldung von der Webbox, daher geht es um einen Dienst auf dem Server.

    Wenn du nen IIS drauf hast, dann kannst du das über den IIS Manager prüfen, ob er eine solche Bindung hat.

    Oder du deaktivierst mal die Webbox und startest den Server neu, dann werden die Dienste geladen und du kannst über den Browser prüfen ob und was läuft.
    Kann den Server nun im laufenen Betrieb nicht einfach neu starten ;) Es wird gearbeitet... Muss ich die Tage dann mal schauen.

    fn0rd schrieb:

    Diesen Fehler hatte ich heute auch. Das liegt nicht am Port sondern am Zertifikat. Bei der Aktualisierung in der Nacht ist in die wbcert.pem nur der RSA Private Key kopiert worden, der Rest aus der %domain%-chain.pem fehlte komplett. Bei erneuter manueller Ausführung war die wbcert dann wieder vollständig und konnte geladen werden.

    Komische Sache, ich habe dafür noch keinen Grund finden können.
    Was hast du manuell ausgeführt? Die Update.bat? oder was genau?
  • fn0rd schrieb:

    Den Update

    lycra schrieb:

    Was hast du manuell ausgeführt? Die Update.bat? oder was genau?
    Die Aufgabe im Taskplaner. Genau die, die auch automatisch ausgeführt wird. Das macht die Sache ja so mysteriös.
    Hab ich nun auch mal manuell gestartet. Mal abwarten ;)

    EDIT:


    Quellcode

    1. [2] Processing New SSL Connection: 00000548
    2. [2] SSL accept Failed: 00000548
    3. [2] Connection Terminated
    Hab ich nun öfter im Monitor stehen.
    Liegt das daran weil die eigentliche IP noch nicht auf die Sub domain bei einigen meiner Mitarbeiter umgestellt wurde am smartphone/tablet?

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von lycra ()