letsencrypt ohne python

  • Hallo Zusammen,


    ich weiß nicht wie es auch bei dem Thema SSL-Zertifikate mit letsencrypt geht.
    Auf einigen aktuellen PD-Admin-Servern mit Debian 8 und Debian 9 habe ich die von Herrn Bradler empfohlene letsencrypt-Implementierung eingerichtet. Das funktioniert gut, aber ich habe so etwas die Befürchtung das mit dem ganzen - für mich - undurchsichtigen python-kram mit Kanonen auf Spatzen geschossen wird.


    Wäre es nicht denkbar, wie bei vielen dingen im PD-Admin, eine einfache Bash-Script-Lösung für die Beantragung und Verlängerung von letsencrypt-Zertifikaten zu schaffen, die dann in der Standard-Umgebung vollständig enthalten ist?


    Sowas zum Beispiel:
    https://github.com/Neilpang/acme.sh/blob/master/README.md


    Außerdem würde ich mir in der Subdomain-Verwaltung der Kunden wünschen das ich auch Subdomains von der automatischen letsencrypt-Beantragung ausschließen kann. Denn manchmal sind Domains bei uns angelegt mit dem automatischen www. obwohl nur eine andere subdomain bei uns darauf läuft und die www. irgendwo auf einem Server ohne unseren Zugriff. Dann würde man die Fehlermeldungen im certbot reduzieren.


    Soweit meine Gedanken aktuell zu dem Thema. Da mit der EU-DSGVO die Verschlüsselung von Kontaktformularen und damit der Websites fahrt aufnimmt wäre was schlankes und praktisches wünschenswert.


    viele Grüße
    Manfred

  • Die Idee finde ich gut :-)


    Da der Wrapper /opt/pdadmin/bin/certbot-auto meine Umgebung leider nicht unterstützt, hantiere ich mit getssl herum :-\


    Eigentlich müsste man das nur noch scripten und hätte eine Lösung die unabhängig von der Umgebung ist.


  • Den Ansatz finde ich auch gut.
    Vielleicht wäre es möglich das der PD-Admin einfach eine Funktion bereit stellt die SSL-Zertifikate die in irgend einem Verzeichnis validiert liegen abarbeitet und in der Datenbank einstellt sowie die zertifikate im apache aktiviert.
    Kann sein das das mit den Zertifikaten in /opt/pdadmin/sslcerts/www.domain.org-cert / -key / -cacert schon so ist, habe ich bisher nicht ausprobiert.

  • Zitat

    Original von monderka
    Den Ansatz finde ich auch gut.
    Vielleicht wäre es möglich das der PD-Admin einfach eine Funktion bereit stellt die SSL-Zertifikate die in irgend einem Verzeichnis validiert liegen abarbeitet und in der Datenbank einstellt sowie die zertifikate im apache aktiviert.
    Kann sein das das mit den Zertifikaten in /opt/pdadmin/sslcerts/www.domain.org-cert / -key / -cacert schon so ist, habe ich bisher nicht ausprobiert.


    Ich denke ganz so einfach ist es nicht. Wenn ich mit die vadmin DB und darin die vhosts Tabelle anschaue, gibt es die Spalten 'ssl_enabled' und 'ssl_active'. Ich weiß nicht wozu diese dienen, gehe aber davon aus, dass für SSL-Zertifikat auch Änderungen in der DB notwendig sind.

  • Zitat

    Ich weiß nicht wozu diese dienen, gehe aber davon aus, dass für SSL-Zertifikat auch Änderungen in der DB notwendig sind.


    Deswegen ja

    SQL
    1. UPDATE vhosts SET ssl_enabled = '1', ssl_active='1', sni = '1' WHERE name = 'www' AND domain = (SELECT id FROM domains WHERE name = 'domain.org')


    Damit werden die Zertifikate in /opt/pdadmin/sslcerts/ genutzt.
    Zumindest reichen die aufgelisteten manuellen Schritte pro Domain, damit die unter https läuft...