Letsencrypt für Server-Hostnamen

  • Hallo Miteinander,


    ich habe bei pd-admin v 4.67 folgendes Feature entdeckt


    - Verbesserung: letsencrypt.pl kann auch ein Zertifikat für den Server-Hostnamen einrichten

    weiß vielleicht jemand wie man das benutzt?


    /opt/pdadmin/bin/letsencrypt Server-Hostname ??


    Grüße

  • Werden dann auch alle Dienste dementsprechend eingerichtet?

    • Apache (ServerRoot für administrator, customer, pop3, phpMyAdmin, phpPgAdmin, roundcubemail, etc.)
    • Mail (smtps, pop3s, imap4s), evtl. Verschlüsselung noch als required markieren …
    • FTP, evtl. Verschlüsselung noch als required markieren …
    • MySQL
    • Postgres
    • ???
  • Es wird nur das Let's Encrypt für den Hostnamen ausgestellt und unter /opt/of admin/sslcerts verlinkt. Entsprechend wird es nur für den Apache (customer, administrator, etc) automatisch konfiguriert.

    Mail, FTP und MySQL müssen weiterhin separat konfiguriert werden.

  • Ich habe das jetzt auch mal Testweise versucht. "Normale" Domains auf dem Test-Server bekommen ohne Probleme ein Zertifikat

    per Let's Encrypt, wenn ich es aber nun mit dem Servernamen versuche, dann kommt direkt:


    /opt/pdadmin/bin/letsencrypt server.domain.de

    Unknown SubdomainWriting /usr/local/pd-admin2/conf/httpd.conf


    Leider ist in der Log von Let's Encrypt nichts zu finden.


    Auf einem anderen Test-Server läuft die Prüfung zwar an, aber er kann dann anscheinend den DNS nicht richtig auflösen:


    IMPORTANT NOTES:

    - The following errors were reported by the server:


    Domain: server.domain.de

    Type: unauthorized

    Detail: Invalid response from

    http://server.domain.de/.well-…D2zEpojJ48EMNBzJ2VFfuqZkQ

    [IP]: "<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML

    2.0//EN\">\n<html><head>\n<title>404 Not

    Found</title>\n</head><body>\n<h1>Not Found</h1>\n<p"


    To fix these errors, please make sure that your domain name was

    entered correctly and the DNS A/AAAA record(s) for that domain

    contain(s) the right IP address.

    certbot-auto failedWriting /usr/local/pd-admin2/conf/httpd.conf


    Diesmal zeigt er die Meldung aber auch in der Log-Datei an.


    Jemand eine Idee bzw. klappt es ohne Probleme?

  • Also jetzt habe ich mich wohl zu früh gefreut, bei einem Server kommt jetzt wieder


    /opt/pdadmin/bin/letsencrypt server.domain.de

    Unknown SubdomainWriting /usr/local/pd-admin2/conf/httpd.conf


    Bisher habe ich dort noch nichts gefunden, was anders ist, als bei den anderen Servern.

  • Die weiteren Dienste können mit /opt/pdadmin/bin/update_host_certificate.sh konfiguriert werden. Eine automatische Einrichtung eines Zertifikats während der Installation wird in einer der kommenden Versionen folgen.

    Bedeutet das, dass /opt/pdadmin/bin/update_host_certificate.sh die Variante dc-ssl-install.sh ersetzt?

  • Wenn man sich beide Skripte einmal anschaut sind diese praktisch identisch. Ich vermute Mal der Unterschied ist lediglich, dass dc-ssl-install.sh extra heruntergeladen werden muss. update_host_certificate.sh hingegen wird direkt mit PDA mitgeliefert.

  • Ich habe mal diff drüber laufen lassen und ist wirklich nicht viel anders:


    diff update_host_certificate.sh dc-ssl-install.sh

    12,15d11

    < test -e /opt/pdadmin/etc/mailserver.conf && {

    < H=$(cat /opt/pdadmin/etc/mailserver.conf)

    < }

    <

    47,48c43,44

    < grep -q "^ssl *= *yes" /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/conf.d/10-ssl.conf || /usr/local/pd-admin2/CONFIGURE/dovecot-2.2.sh

    < /usr/local/bin/svc -du /service/dovecot22/

    ---

    > grep -q "^ssl *= *yes" /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/conf.d/10-ssl.conf || /usr/local/pd-admin2/CONFIGURE/dovecot-2.2.sh

    > svc -du /service/dovecot22/

    54c50

    < TLSProtocol TLSv1.1 TLSv1.2

    ---

    > TLSProtocol SSLv3 TLSv1

    61d56

    < TLSOptions NoSessionReuseRequired

    75,76d69

    <

    < cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert /opt/pdadmin/sslcerts/$H-cacert > /usr/local/pd-admin2/share/imapd.pem


    Denke es ist dann besser demnächst das neue Script zu verwenden.

  • Ich denke auch, dass die (wenn auch nur geringen) Unterschiede schon einen Sinn haben.

    Es wäre ja generell nicht schlecht eine aktuelle Installations/Update Anleitung zu haben.

    Ich durchsuche bei allem, was ich einrichten möchte das ganze Forum, bin mir aber meist nicht sicher, ob das die aktuellste/beste Variante ist.

    Beispiel Welcher Hostname, update_host_certificate.sh, Spamasassin Rules Update, fail2ban, letsencrypt...

    Ist ja generell kein Problem alles selbst einzurichten, die Frage ist dann, wie reagiert das System, wenn ich update und viele Dinge selbsdtgestrickt habe.

    Nur mal als Denkansatz... vielleicht könnte man ja etwas aufbauen.

    Ich denke auch, dass die Dokus auf pd-admin.de auch nicht mehr ganz aktuell sind.