Let's Encrypt

  • Ein Zertifikat kauf mal einmal für z.B. drei Jahre (27€) und gut ist, und ich kann es ohne großen Aufwand
    für andere Dienste verwenden.

    Mal doof gefragt: Wo bekommt man das für diesen Preis? Eine spontane Recherche ergab gerade ca. 100 Euro im Jahr - ist natürlich noch immer nicht die Welt, aber schon eine Schallgrenze, bei der manche Kunden meckern könnten (zumal es ja gar nicht so einfach ist, einem normalen Anwender zu erklären, wozu ein Zertifikat überhaupt gut ist).


    PS: Tobit Verkauft keine Webserver Zertifikate, sondern eMail (S/MIME) Zertifikate (von D-Trust).

    NOCH nicht. Ich denke, denen ist schon bewusst, dass da was passieren muss - wenn man ein selbsterstelltes Zertifikat in der Webbox und eine dynamische IP hat, bekommt man den Webaccess über https ja zum Beispiel nur noch übers Wegklicken vieler fieser Warnmeldungen aufgerufen. Gut möglich, dass neuere Versionen von iOS und Android da auch wählerischer werden. Mein Tipp ist, dass Tobit demnächst eine integrierte Lösung anbieten möchte, wie schon mit SPAM-Filter, Virenschutz, ePost, Mail-Zertifikaten usw. - nur wird diese Lösung nicht kostenlos und somit nicht auf Let's Encrypt basieren.

  • Guten Morgen, pünktlich um 09:00 die Aufgabenplanung ;)


    Code
    1. TCP/IP SSL Bind Failed Error Port 443 konnte nicht registriert werden. Comment David WebBox ist nicht betriebsbereit.


    Und im Statusmonitor steht foglendes:



    Führe ich die Aufgabe nach Beenden ernaut manuell aus klappt es.

  • Guten Morgen, pünktlich um 09:00 die Aufgabenplanung ;)


    Code
    1. TCP/IP SSL Bind Failed Error Port 443 konnte nicht registriert werden. Comment David WebBox ist nicht betriebsbereit.

    Und im Statusmonitor steht foglendes:


    Führe ich die Aufgabe nach Beenden ernaut manuell aus klappt es.

    Let's Encrypt sollte helfen


    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)

  • Let's Encrypt sollte helfen

    Ich habe ja deine ANpassung genommen:



    Aber es klappt nicht, grade wieder. musste die aufgabe beenden und dann erneut manuell starten.
    Bis das gelöst ist habe ich das nun mal auf wöchentlich umgestellt die Aufgabe.



    Ansonsten vor dem Starten der webbox noch 30 Sekunden warten eventuell ist nicht alles beendet.

    Und wie mache ich das ?
    Noch einen befehl in die update.bat einfügen?



    Vielleicht auch einfach die Uhrzeit abändern? Weil ab 8 Uhr unser Büro genutzt wird?
    Auf 7 Uhr ggf einstellen dass dernicht "gestört" wird? :D

  • Wenn der Script Ablauf passt, ist die Uhrzeit egal.
    ergänze mal die call_update.cmd:


    cmd.exe < c:\ssl\update.bat >> c:\ssl\update_log.txt


    starte diese (Administrator) und prüfe die Log Datei ob die Webbox beendet wird,
    bzw ob Fehler verzeichnet sind.


    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)

  • Habe ich gemacht.


    Im Log steht nun folgendes:


    Code
    1. Microsoft Windows [Version 6.1.7601]Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.C:\SSL>@echo offset domain="mail.domain.de"set davidinstall="D:\David"NET STOP "David Webbox"David WebBox wird beendet.David WebBox wurde erfolgreich beendet.START "" /B "c:\ssl\python.bat"START "" /WAIT ""c:\ssl\letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/""C:\SSL>c:\ssl\python.exe -m http.server 80 TASKKILL /IM python.exe /FERFOLGREICH: Der Prozess "python.exe" mit PID 13764 wurde beendet.timeout /t 5C:\SSL>type c:\ssl\certs\%domain%-key.pem > c:\ssl\certs\wbcert.pemC:\SSL>type c:\ssl\certs\%domain%-chain.pem >> c:\ssl\certs\wbcert.pemdel "%davidinstall%\Apps\Webbox\Code\wbcert.pem"copy c:\ssl\certs\wbcert.pem "%davidinstall%\Apps\Webbox\Code"C:\SSL>NET START "David Webbox" 1 Datei(en) kopiert.Mehr? David WebBox wird gestartet.David WebBox wurde erfolgreich gestartet.C:\SSL>

    ich habe ein schwarzes Fenster dann aufblinken sehen, siehe Screenshot.
    Ob das was damit zu tun hat weiß ich nicht. Das sehe ich nur wenn ich als Admin per Rechtsklick die cmd ausführe.
    (Windows Server 2008 R2),


    Dann habe ich die Aufgabenplanung mal auf 12 Uhr gesetzt um zu schauen ob es klappt.



    Kann es mir also nicht erklären....
    Muss ich wohl mal auf morgen früh warten, ob da etwas anderes im Log dann stehen wird. So sieht es ja gut aus...

  • Ich habe das Thema "Automatisches Update" nach vielen Versuchen ad acta gelegt; hier läuft's einfach nicht stabil und sauber. Entweder, es bleibt ein Programm hängen, oder die Webbox startet nicht sauber. Außerdem ist das Ganze eh ein bisschen suspekt, solange man von der letsencrypt.exe kein Protokoll bekommen kann - so ist nämlich nie klar, ob das Update wirklich durchgelaufen ist, oder der Batch nur aus den bereits vorhandenen Dateien eine neue wbcert.pem zusammenkopiert.


    Dennoch bin ich mit dem Ergebnis ganz zufrieden; bei einer ansonsten kostenlosen Lösung kann man es auch auf sich nehmen, 4x im Jahr manuell eine Erneuerung durchzuführen. Und das geht mit der update.bat sehr bequem.


    Mein Problem ist eher, dass Prüfseiten wie ssllabs.com immer noch melden, dass die Zertifikatskette unterbrochen sei. Obwohl die wbcert.pem ja aus den 3 Dateien zusammenkopiert wird, sagt mir ssllabs, dass lediglich ein Zertifikat übergeben wurde. "Sent by server" das für meine subdomain, "In trust store" das Root-Zertifikat, aber "Let's Encrypt Authority X3" wird als "extra download" angezeigt, obwohl es nach meinem Verständnis doch mit in die Datei eingebacken wurde? Hat diesbezüglich jemand eine Idee?

  • Ich habe das Thema "Automatisches Update" nach vielen Versuchen ad acta gelegt;

    Es ist ja noch "semi" automatisch :D
    Wenn bei mir der FEhler kommt mache ich "schnell" den manuellen Anstoß



    Dennoch bin ich mit dem Ergebnis ganz zufrieden;

    Ich auch soweit.

    Hat diesbezüglich jemand eine Idee?

    ALso bei mir ist es A-, soweit also alles in Ordnung.
    Schon merkwürdig das es bei dir nicht so ist..


    Glaube bei mir ist das richtig oder ?

  • Ja. Meine Webbox scheint immer nur exakt ein Zertifikat rauszugeben, obwohl drei zusammengefügt werden. Das ist doch so richtig, oder?

    Code
    1. type *-key.pem > wbcert.pemtype %domain%-crt.pem >> wbcert.pemtype ca-*.pem >> wbcert.pem


    Es reicht wenn du folgendes zusammenbaust
    type *-key.pem > wbcert.pem
    type *-chain.pem >> wbcert.pem -> In der Chain ist die Kette drin ;)


    Das ist mein aktuelles Update Script:
    Mit Log Funktion für das Erneuern des Zertifikats bei Let's encrypt


    So sieht die Log Datei für Let's encrypt dann aus:


    The global logger has been configured
    Let's Encrypt (Simple Windows ACME Client)
    Renewal Period: 60
    Certificate Store: WebHosting
    ACME Server:
    Config Folder: C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org
    Certificate Folder: ./Certs
    Loading Signer from C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Signer
    Getting AcmeServerDirectory
    Loading Registration from C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Registration
    Checking Renewals
    Checking Manual SUB-DOMÄNE () Renew After 03.10.2017


    PS: Das Cert gilt nur 2 Monate !


    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)

    Dieser Beitrag wurde bereits 3 Mal editiert, zuletzt von stylistics ()