Let’s Encrypt

  • Ich bin durchaus begeistert davon und werde es nutzen, sobald es verfügbar ist. Beim Beta-Programm wurde ich offenbar noch nicht aufgenommen.


    Allerdings werde ich vermutlich einen alternativen Client für die Verifizierung nutzen oder selbst daran herumprogrammieren. Das Original ist leider für viele Serversetups extrem ungünstig aufgebaut.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)


  • Da wäre ich auch interessiert dran :)

  • Habe Beta Zugang bekommen, allerdings ist das ganze momentan noch sehr restriktiv. Aktuell kann man nur die whitelisted domains mit und ohne www. nutzen.
    Werde da wohl noch warten bis man mehrere Subdomains freigeben kann, laut E-Mail soll das in naher Zukunft passieren.


    Zum Thema Client:
    So wie ich den Ablauf des Clients verstanden habe, kann man sich die Zertifikate auch ohne "auto-config" erstellen lassen.


  • Da war es doch noch gar nicht angekündigt? 8o



    MfG Christian

    da siehste mal, wie mein Zeitgefühl schon im A.. ist. Um genau zu sein, ist es nun fast ein Jahr her. Verfolge lets encrypt schon seit Anfang an und war extrem enttäuscht, als sie das Projekt dieses Jahr 2x delayed haben. :/

  • ich hatte mich da mal vor einiger Zeit für die Beta angemeldet und wurde vor ein paar Tagen für ein paar Domains von mir freigeschaltet.


    Auf einem Rootserver habe ich das auch schon eingerichtet.


    Nach einigen Fehlern hat es jedoch funktioniert und auf dem Server läuft das Zertifikat nun.
    Die Beta Zertifikate sind allerdings nur für ~2Monate gültig. Man muss danach also ein neues erstellen / erneuern. Das soll sich nach der Beta aber glaube ich ändern.


    Nun wollte ich testweise mal ein Zertifikat lokal generieren und auf ein Webserver hier bei Netcup laden. Aber nicht mehr heute^^

  • Im Moment benutze ich Start SSL Zertifikate für 'public' Webseiten mit eigener Domain sowie den Mailserver, und von meiner eigenen CA :D signierte Zertifikate für die Admin-Tools (jeweils auf einer eigenen Subdomain).


    Ich werde neue Zertifikate von Let's Encrypt signieren lassen. :thumbup:
    Aber nicht mit dem Standard-Skript, denn meine nginx Konfiguration ist ja schon vollständig.

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus

  • Das macht das ganze irgendwie weniger attraktiv. Wer hat schon Lust vier mal im. Jahr neue Zertifikate zu erstellen


    Die Idee ist ja, dass man das automatisiert machen lässt, siehe das A von ACME (Automated Certificate Management Environment).
    Das 'Kein Aufwand für den Admin' ist das hauptsächlich attraktive für mich.


    Zitat

    A shorter lifetime will hopefully encourage people to automate the renewal process, and we'll provide tools to help with that.


    • Cron Skript prüft mittels OpenSSL das Expiration Date
    • Falls < 30 / 14 / 7 Tage wird ein neuer CSR mit den gleichen Einstellungen wie der vorherige erstellt
    • Über die API wird ein neues Zertifikat geholt und das alte installierte damit überschrieben
    • service nginx reload :)

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus

  • Ich habe vorhin übrigens auch eine Einladung zur Beta bekommen, für einen ganzen Haufen von (Sub-) Domains, die ich angemeldet hatte. Muss ich mir am WE in Ruhe ansehen… :)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Guten Abend,



    letsencrypt funktioniert problemlos in unserem Webhosting:


    phpinfo()


    Es gibt sogar ein Rating A:


    SSL Server Test: letsencrypt.pro (Powered by Qualys SSL Labs)


    Wir arbeiten jetzt an einer Lösung, dass jeder Kunde automatisch ein Zertifikat kostenlos erhält. Wer sich selber eins generieren kann, kann es schon jetzt in einem Expert-Tarif einspielen.



    Viel Spaß mit den kostenlosen SSL-Zertifikaten.



    Mit freundlichen Grüßen


    Felix Preuß

  • Wir arbeiten jetzt an einer Lösung, dass jeder Kunde automatisch ein Zertifikat kostenlos erhält. Wer sich selber eins generieren kann, kann es schon jetzt in einem Expert-Tarif einspielen.


    Das hört sich doch schon mal gut an. :thumbup:
    (die Beta ist ja jetzt öffentlich --> http://www.heise.de/newsticker…?wt_mc=rss.ho.beitrag.rdf)
    # funktioniert das dann auch mit mehreren Domains innerhalb eines "Web Expert" -Hosting-Paketes ?
    # Was ist mit Subdomains ?
    # wie ist das dann mit dieser begrenzten Lebensdauer (siehe Beitrag oben), werden die dann immer wieder alle paar Monate automatisch erneuert ?

    Grüße,
    Dirk
    (gekündigt am 06.11.2022, aus Gründen...)

    Einmal editiert, zuletzt von Dirk67 ()

  • Guten Tag,



    es gibt jetzt vorab eine Anleitung im Wiki, wie Sie selber zu so einem Zertifikat kommen und es im Webhostingcontrolpanel einbinden:


    SSL-Zertifikat von Letsencrypt generieren und im WCP installieren – netcup Wiki


    Nun zur Beantwortung der Fragen:


    # funktioniert das dann auch mit mehreren Domains innerhalb eines "Web Expert" -Hosting-Paketes ?


    Ja



    # Was ist mit Subdomains ?


    Manuell sollte das auf jeden Fall auch gehen. Eventuell automatisieren wir das auch.



    # wie ist das dann mit dieser begrenzten Lebensdauer (siehe Beitrag
    oben), werden die dann immer wieder alle paar Monate automatisch
    erneuert ?


    Ja

    Zitat

    Wird es diese Funktion auch für managed Server geben?

    Wie es aussieht ja.



    Mit freundlichen Grüßen


    Felix Preuß

  • Code
    An unexpected error occurred:
    There were too many requests of a given type :: Error creating new cert :: Too many certificates already issued for: yourvserver.net
    Please see the logfiles in /var/log/letsencrypt for more details.


    Also für die Absicherung des hosts erstmal nicht möglich? Oder hat da wer Erfahrungen, dies zu umgehen? Immerhin funktionieren die angelegten Domains...