Let's Encrypt

  • Neu

    nordtech schrieb:

    Ja. Meine Webbox scheint immer nur exakt ein Zertifikat rauszugeben, obwohl drei zusammengefügt werden. Das ist doch so richtig, oder?

    Quellcode

    1. type *-key.pem > wbcert.pem
    2. type %domain%-crt.pem >> wbcert.pem
    3. type ca-*.pem >> wbcert.pem

    Es reicht wenn du folgendes zusammenbaust
    type *-key.pem > wbcert.pem
    type *-chain.pem >> wbcert.pem -> In der Chain ist die Kette drin ;)

    Das ist mein aktuelles Update Script:
    Mit Log Funktion für das Erneuern des Zertifikats bei Let's encrypt

    Shell-Script: update.bat

    1. @echo on
    2. setlocal
    3. set domain=SUB-DOMÄNE
    4. set davidinstall=DAVID-ROOT
    5. set ssl-certs=c:\ssl\certs
    6. set ssl=c:\ssl
    7. NET STOP "David Webbox"
    8. START "" /B "%ssl%\python.bat"
    9. START "" /WAIT ""%ssl%\letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/" >> %ssl%\update_log_renew.txt"
    10. TASKKILL /IM python.exe /F
    11. timeout /t 5
    12. type "%ssl-certs%\*-key.pem" > %ssl-certs%\wbcert.pem
    13. type "%ssl-certs%\*-chain.pem" >> %ssl-certs%\wbcert.pem
    14. del "%davidinstall%\Apps\Webbox\Code\wbcert.pem"
    15. copy %ssl-certs%\wbcert.pem "%davidinstall%\Apps\Webbox\Code"
    16. NET START "David Webbox"
    17. exit
    Alles anzeigen

    So sieht die Log Datei für Let's encrypt dann aus:

    The global logger has been configured
    Let's Encrypt (Simple Windows ACME Client)
    Renewal Period: 60
    Certificate Store: WebHosting
    ACME Server: acme-v01.api.letsencrypt.org/
    Config Folder: C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org
    Certificate Folder: ./Certs
    Loading Signer from C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Signer
    Getting AcmeServerDirectory
    Loading Registration from C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Registration
    Checking Renewals
    Checking Manual SUB-DOMÄNE () Renew After 03.10.2017

    PS: Das Cert gilt nur 2 Monate !

    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)

    Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von stylistics ()

  • Neu

    stylistics schrieb:

    Was steht in der update_log.txt?

    Quellcode

    1. Microsoft Windows [Version 6.1.7601]
    2. Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.
    3. C:\SSL>@echo on
    4. C:\SSL>setlocal
    5. C:\SSL>set domain="mail.domain.de"
    6. C:\SSL>set davidinstall="D:\David"
    7. C:\SSL>set ssl-certs=c:\ssl\certs
    8. C:\SSL>set ssl=c:\ssl
    9. C:\SSL>NET STOP "David Webbox"
    10. David WebBox wird beendet.
    11. David WebBox wurde erfolgreich beendet.
    12. C:\SSL>START "" /B "%ssl%\python.bat"
    13. C:\SSL>START "" /WAIT ""%ssl%\letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/" >> %ssl%\update_log_renew.txt"
    14. C:\SSL>c:\ssl\python.exe -m http.server 80
    15. C:\SSL>TASKKILL /IM python.exe /F
    16. ERFOLGREICH: Der Prozess "python.exe" mit PID 5476 wurde beendet.
    17. C:\SSL>timeout /t 5
    18. C:\SSL>type "%ssl-certs%\*-key.pem" > %ssl-certs%\wbcert.pem
    19. C:\SSL>type "%ssl-certs%\*-chain.pem" >> %ssl-certs%\wbcert.pem
    20. C:\SSL>del "%davidinstall%\Apps\Webbox\Code\wbcert.pem"
    21. C:\SSL>copy %ssl-certs%\wbcert.pem "%davidinstall%\Apps\Webbox\Code"
    22. C:\SSL>NET START "David Webbox"
    23. 1 Datei(en) kopiert.
    24. C:\SSL>Mehr? David WebBox wird gestartet.
    25. David WebBox wurde erfolgreich gestartet.
    26. C:\SSL>
    Alles anzeigen
  • Neu

    stylistics schrieb:

    START "" /WAIT ""%ssl%\letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/" >> %ssl%\update_log_renew.txt"
    Bei mir ist es das gleiche wie bei lycra. Trotz Umleitung erfolgt die Ausgabe von letsencrypt.exe direkt auf der Console, nicht ins Logfile. Das ist 0 bytes groß, allerdings auch dann, wenn die Erneuerung sauber durchgelaufen ist. Kann ich reproduzieren, wenn ich den Befehl direkt aus der Komandozeile starte: Ausgabe erfolgt ins Fenster, Befehl läuft erfolgreich durch, die update_log_renew.txt wird erstellt, bleibt aber 0 bytes groß.

    Die Datei letsencryp.exe nutzt Serilog für die Protokollierung, und damit das sauber funtkioniert, muss man offenbar erst noch Pakete nachinstallieren. Mir war das irgendwann zu aufwändig, hab's daher nicht komplett durchgezogen.

    @stylistics: Nutzt du die letsencrypt.exe aus dem Archiv von Murmelbahn, oder evtl. eine andere?
  • Neu

    Wegen der Log Datei, hatte bei mir die update.bat angepasst:

    Quellcode: update.bat

    1. START "" /B "%ssl%\python.bat"
    2. %ssl%\letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/" >> %ssl%\update_log_renew.txt
    3. TASKKILL /IM python.exe /F
    4. timeout /t 5
    5. type "%ssl-certs%\*-key.pem" > %ssl-certs%\wbcert.pem
    6. type "%ssl-certs%\*-chain.pem" >> %ssl-certs%\wbcert.pem
    7. del "%davidinstall%\Apps\Webbox\Code\wbcert.pem"
    8. copy %ssl-certs%\wbcert.pem "%davidinstall%\Apps\Webbox\Code"
    9. NET START "David Webbox"
    10. exit
    Zeile 2

    Ich bekomme ein:



    Nutze du meinen Update Script? Siehe Zeile 5&6 Erklärung > Let's Encrypt

    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)
  • Neu

    nordtech schrieb:

    ARGH! Wie heißt es so schön... Kaum macht man's richtig, schon funktioniert's! ;)

    Da muss ein Haken rein (Konfiguration Webbox):



    michaelstaehle schrieb:

    Welche Bewertung des Zertifikates erhaltet ihr?

    Link: ssllabs.com/ssltest/

    Ich bekomme ein B sowie, dass die Kette nicht sauber ist.

    Weiß jemand wie man ein CAA DNS bei zum Beispiel 1und1 setzt?

    Gruß Michael
    Für dich gilt das hier wohl ;)
    teste es mal aus.



    nordtech schrieb:

    Die Datei letsencryp.exe nutzt Serilog für die Protokollierung, und damit das sauber funtkioniert, muss man offenbar erst noch Pakete nachinstallieren. Mir war das irgendwann zu aufwändig, hab's daher nicht komplett durchgezogen.
    Was meinst du muss noch gemacht werden? ich habe die Anleitung komplett befolgt und jeden Schritt gemacht.


    stylistics schrieb:

    baut alles auf seinem Paket auf.
    Waran kann der unterschied noch liegen?
    Ich habe es alles genau wie du aufgebaut... bleibt aber wie bei @nordtech 0byte groß

    Beitrag von stylistics ()

    Dieser Beitrag wurde vom Autor gelöscht ().
  • Neu

    Ok das war es bei mir nun.
    Die Log Datei schreib nun folgendes:


    Quellcode

    1. The global logger has been configured
    2. Let's Encrypt (Simple Windows ACME Client)
    3. Renewal Period: 60
    4. Certificate Store: WebHosting
    5. ACME Server: https://acme-v01.api.letsencrypt.org/
    6. Config Folder: C:\Users\Florian\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org
    7. Certificate Folder: ./Certs
    8. Loading Signer from C:\Users\Florian\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Signer
    9. Getting AcmeServerDirectory
    10. Loading Registration from C:\Users\Florian\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Registration
    11. Checking Renewals
    12. Checking Manual mail.domain.de () Renew After 06.10.2017
    Alles anzeigen
    Merkwürdig ist allerdings wieso nun hier 60 Tage steht, und nicht wie vorher 90 Tage gültig :D
    Und laut ssslabs steht: Sun, 05 Nov 2017 13:


    stylistics schrieb:

    Ich bekomme ein:
    bei mir was abgezogen..
    Bilder
    • summary.JPG

      51,77 kB, 981×409, 12 mal angesehen
  • Neu

    Ok dann ist die log ja nun richtig ;)
    ich warte dann morgen früh mal ab ob wieder TLS Fehler kommt


    Bei mir steht das auch mit DNS CAA, kenn das so gar ncht. Ist das notwendig?
    Ich habe per a record die subdiain auf die ip gelinkt.


    stylistics schrieb:

    Das liegt daran das bei dir Chiffren verwendet werden, welche bei manchen Browsern KEIN PFS unterstützen.
    Daher der Abzug.
    Ist das einfach zu beheben? Ich müsste mich da glaub mal tiefer einlesen :D
    Bilder
    • summary 2.JPG

      45,29 kB, 835×412, 12 mal angesehen
  • Neu

    lycra schrieb:

    Bei mir steht das auch mit DNS CAA, kenn das so gar ncht. Ist das notwendig?
    Hier mal die Infos zu DNS CAA: en.wikipedia.org/wiki/DNS_Cert…zation#Supporting_servers

    Die Chiffren werden über die davidtls.ini gesteuert. Ich bin gerade bei neue Einstellungen zu testen.

    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)