Letsencrypt für Server-Hostnamen

  • Hallo Miteinander,


    ich habe bei pd-admin v 4.67 folgendes Feature entdeckt


    - Verbesserung: letsencrypt.pl kann auch ein Zertifikat für den Server-Hostnamen einrichten

    weiß vielleicht jemand wie man das benutzt?


    /opt/pdadmin/bin/letsencrypt Server-Hostname ??


    Grüße

  • Werden dann auch alle Dienste dementsprechend eingerichtet?

    • Apache (ServerRoot für administrator, customer, pop3, phpMyAdmin, phpPgAdmin, roundcubemail, etc.)
    • Mail (smtps, pop3s, imap4s), evtl. Verschlüsselung noch als required markieren …
    • FTP, evtl. Verschlüsselung noch als required markieren …
    • MySQL
    • Postgres
    • ???
  • Es wird nur das Let's Encrypt für den Hostnamen ausgestellt und unter /opt/of admin/sslcerts verlinkt. Entsprechend wird es nur für den Apache (customer, administrator, etc) automatisch konfiguriert.

    Mail, FTP und MySQL müssen weiterhin separat konfiguriert werden.

  • Ich habe das jetzt auch mal Testweise versucht. "Normale" Domains auf dem Test-Server bekommen ohne Probleme ein Zertifikat

    per Let's Encrypt, wenn ich es aber nun mit dem Servernamen versuche, dann kommt direkt:


    /opt/pdadmin/bin/letsencrypt server.domain.de

    Unknown SubdomainWriting /usr/local/pd-admin2/conf/httpd.conf


    Leider ist in der Log von Let's Encrypt nichts zu finden.


    Auf einem anderen Test-Server läuft die Prüfung zwar an, aber er kann dann anscheinend den DNS nicht richtig auflösen:


    IMPORTANT NOTES:

    - The following errors were reported by the server:


    Domain: server.domain.de

    Type: unauthorized

    Detail: Invalid response from

    http://server.domain.de/.well-…D2zEpojJ48EMNBzJ2VFfuqZkQ

    [IP]: "<!DOCTYPE HTML PUBLIC \"-//IETF//DTD HTML

    2.0//EN\">\n<html><head>\n<title>404 Not

    Found</title>\n</head><body>\n<h1>Not Found</h1>\n<p"


    To fix these errors, please make sure that your domain name was

    entered correctly and the DNS A/AAAA record(s) for that domain

    contain(s) the right IP address.

    certbot-auto failedWriting /usr/local/pd-admin2/conf/httpd.conf


    Diesmal zeigt er die Meldung aber auch in der Log-Datei an.


    Jemand eine Idee bzw. klappt es ohne Probleme?

  • Also jetzt habe ich mich wohl zu früh gefreut, bei einem Server kommt jetzt wieder


    /opt/pdadmin/bin/letsencrypt server.domain.de

    Unknown SubdomainWriting /usr/local/pd-admin2/conf/httpd.conf


    Bisher habe ich dort noch nichts gefunden, was anders ist, als bei den anderen Servern.

  • Die weiteren Dienste können mit /opt/pdadmin/bin/update_host_certificate.sh konfiguriert werden. Eine automatische Einrichtung eines Zertifikats während der Installation wird in einer der kommenden Versionen folgen.

    Bedeutet das, dass /opt/pdadmin/bin/update_host_certificate.sh die Variante dc-ssl-install.sh ersetzt?

  • Wenn man sich beide Skripte einmal anschaut sind diese praktisch identisch. Ich vermute Mal der Unterschied ist lediglich, dass dc-ssl-install.sh extra heruntergeladen werden muss. update_host_certificate.sh hingegen wird direkt mit PDA mitgeliefert.

  • Ich habe mal diff drüber laufen lassen und ist wirklich nicht viel anders:


    diff update_host_certificate.sh dc-ssl-install.sh

    12,15d11

    < test -e /opt/pdadmin/etc/mailserver.conf && {

    < H=$(cat /opt/pdadmin/etc/mailserver.conf)

    < }

    <

    47,48c43,44

    < grep -q "^ssl *= *yes" /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/conf.d/10-ssl.conf || /usr/local/pd-admin2/CONFIGURE/dovecot-2.2.sh

    < /usr/local/bin/svc -du /service/dovecot22/

    ---

    > grep -q "^ssl *= *yes" /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/conf.d/10-ssl.conf || /usr/local/pd-admin2/CONFIGURE/dovecot-2.2.sh

    > svc -du /service/dovecot22/

    54c50

    < TLSProtocol TLSv1.1 TLSv1.2

    ---

    > TLSProtocol SSLv3 TLSv1

    61d56

    < TLSOptions NoSessionReuseRequired

    75,76d69

    <

    < cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert /opt/pdadmin/sslcerts/$H-cacert > /usr/local/pd-admin2/share/imapd.pem


    Denke es ist dann besser demnächst das neue Script zu verwenden.