Let's Encrypt

stsm

Moin!

Habe gerade - zufällig - in einer älteren Version (2895) von DAVID folgendes entdeckt. Im aktuellen Rollout ist es nicht mehr enthalten - wäre ja auch zu schön um wahr zu sein!

Zitat von DAVID Admin Hilfe

Wählen Sie diese Option, wenn Sie ein Kostenloses Zertifikat von "Let's Encrypt" beziehen möchten. Die Zertifikate stammen von "Let´s Encrypt", welches sich zur Zeit noch in einem Beta-Stadium befindet. Die Zertifikate sind derzeit 90 Tage gültig und müssen dann erneuert werden. Die Funktion führt eine zusätzliche Abfrage an die Adresse "https://autocert.tobit.com" durch.

Im David Administrator unter WebBox/Konfiguration/Erweitert muss TLS aktiviert und "Automatisch Zertifikate erstellen" ausgewählt sein. Die WebBox führt dann alle Notwendigen Schritte selbstständig aus.

Ablauf

Die WebBox prüft beim starten die Zertifikate und erstellt, bzw. erneuert diese (ACWBCERT.PEM, ACCABUNDLE.PEM und zusätzlich bei Postman: ACTXCERT.PEM, ACRXCERT.PEM). Ist ein eigenes Zertifikat (WBCERT.PEM oder [R|T]XCERT.PEM vorhanden, wird überprüft ob dieses abgelaufen ist. Wenn es abgelaufen ist, werden die neuen Zertifikate automatisch benutzt. Ist kein eigens Zertifikat vorhanden, werden die automatisch erstellen Zertifikate benutzt (diesen Vorgang können Sie im Status Monitor der WebBox verfolgen).

Die WebBox kontaktiert die Adresse "https://autocert.tobit.com" und übergibt die eingetragene Domain unter WebBox/Konfiguration/Domain/Domain Name, sowie die SiteID der David Installation. Der Tobit Server kontaktiert dann "Let´s Encrypt" und bekommt eine "Challenge" zurück. Diese Challenge wird an die WebBox mittels "http://[Domain Name]//.well-known/acme im Header mit X-ACME-CHALLENGE und X-ACME-TOKEN übergeben und zwischengespeichert.

Danach kontaktiert "Let´s Encrypt" folgende URL: "http://[Domain Name]/.well-known/acme-challenge/[X-ACME-TOKEN]" und gibt "[X-ACME-CHALLENGE]" als Datei zurück. War das erfolgreich, gibt der Server an die Ihre WebBox die erstellen Zertifikate zurück und speichert diese unter "..\David\WebBox\Code\Certificates".

Enthaltene Zertifikate:

cert.pem - Das Zertifikat

privkey.pem - Der Private Key

chain.pem - Die Zertifikatkette

fullchain.pem - Die Zertifikatkette mit Zertifikat (cert.pem)

Die WebBox erstellt bei erfolgreicher Abholung die Zertifikate für die WebBox und Postman:

ACWBCERT.PEM

ACCABUNDLE.PEM

ACRXCERT.PEM

ACTXCERT.PEM

Nach dem abholen der Zertifikate stehen diese der WebBox sofort zur Verfügung und werden genutzt. Bei Postman muss der Dienst unter Umständen neu gestartet werden.

Vor Ablaufdatum (7 Tage) oder bei Änderung des Domain Namen im David Administrator, wird das automatisch erstellte Zertifikat erneuert.

Alles anzeigen

*stylistics*

Das ging komischerweise auch an mir vorbei...
Wäre für die meisten kleineren Kunden genau das richtige

*stylistics*

Hat jemand dieses Rollout noch? Müsste das 257 sein.

Hat sich erledigt, hab noch eins gefunden!

*stylistics*

Ich habe mal nen Test Server mit dem Rollout 257 aufgesetzt, das ist genau die Version 2895.
Hier findet man die Infos in der DVAdmin Hilfe, aber leider gibt es die besagten Schalter
in der Webbox Konfig nicht....

Case-Berlin

Ich hatte damals auch mal beim Support angefragt. Das war eine Funktion die sie einbauen wollten, die aber nie funktioniert hat. Nur in der Hilfe war sie noch drin.
Ich hoffe auch, dass sie mal umgesetzt wird, das wäre echt mal ne schöne Neuerung.

*stylistics*

Ja so siehts aus....

Murmelbahn

Ich hab mir da inzwischen ein eigenes Script gebaut das die Zertifikate anlegt und erneuert. Tobit hat da ja bis jetzt nichts zur Verfügung gestellt.

*stylistics*

Ich denke es gibt hier sicher einige David Admins die sich über den Script freuen würden

Murmelbahn

Ich müsste das nochmal etwas aufhübschen, werde das die Tage mal machen und dann veröffentlichen.

zwergy

Hallo @Murmelbahn,
das Thema ist ja schon etwas eingestaubt. Bei mir ist das Thema Zertifikat via Lets Encrypt für David sehr aktuell.

Ich wollte mal höflich fragen, ob du mir dein Script zur Verfügung stellen kannst.
Geht auch unaufgehübscht

Vielen Dank im Vorraus

lycra

Ich würde mich da auch direkt anschließen und mal nett nachfragen

stsm

Zitat von lycra

Ich würde mich da auch direkt anschließen und mal nett nachfragen

Me too!

Ritana

Hallo,
ich auch

Case-Berlin

auch ich hätte daran Interesse

lycra

Ich habe @Murmelbahn mal eine mail geschrieben.
Vielleicht ist er nicht mehr so häufig hier im Forum und hat das Thema/Interesse noch nicht gesehen.

Murmelbahn

Hallo,

ich habe das irgendwie ganz vergessen das es hier dieses Thema gibt.

-------------------------------------------------------------------------------------------

Anlegen einer Subdomain beim DNS Provider des Kunden. Beispielsweise mail.domain.tld. Diese muss auf die externe IP des Kunden bzw dessen DynDNS zeigen.
Kopieren des Skriptes SSL.zip auf Laufwerk C des David Servers des Kunden.
Entpacken des Skriptes, alle Inhalte müssen unter C:\SSL auf dem David Server des Kunden liegen.
SSL.zip löschen.
Sicherstellen das Port 80 in der Firewall auf den David Server geforwarded wird.
C:\SSL\INSTALL.bat als Administrator ausführen.
Das Skript fragt nach der Domain unter der die Webbox angesprochen werden soll. Beispielsweise mail.domain.tld.
Das Skript fragt nach dem Pfad zur David installation. Beispielsweise D:\David, C:\David. Wichtig: Keinen Backslash am Ende des Pfades eintragen.
Anschließend wird die Webbox beendet.
Als nächstes fragt das Lets Encrypt Script nach einer Mail Adresse an die Mails geschickten werden sollen wenn das Zertifikat abläuft. Hier am besten [email=info@]info@ [/email]angeben.
Im Hauptmenü der Anwendung "M: Generate a certificate manually" auswählen.
Nun den Namen der Subdomain für die das Zertifikat generiert werden soll eingeben: mail.domain.tld.
Die Abfrage nach dem site path mit Enter bestätigen.
Die nächste Abfrage mit "N" beantworten.
Ein letztes mal "Enter" beendet das Script

Unter C:\SSL\Certs sind alle Files wie Certificate, Key und Request. Hier nichts löschen! Bei beenden des Scripts wurde eine wbcert.pem erstellt und in das Verzeichnis der Webbox kopiert, falls bereits eine
wbcert.pem vorhanden war wird die in wbcert_old.pem umbennant.

Im David Administrator -> Webbox -> Konfigurieren -> Domain mail.domain.tld eintragen.
Webbox neu starten
Als nächstes unter C:\SSL\ UPDATE.bat bearbeiten.
Unter set domain den Namen der Subdomain eintragen.
Unter set davidinstall den Pfad zur David Installation ohne Backslash am Ende eintragen.
Das File speichern.
In die Aufgabenplanung des Servers gehen.
Den Task "letsencrypt-win-simple httpsacme-v01.api.letsencrypt.org" bearbeiten.
Den Radiobutton unter "Allgemein" bei "Unabhängig von der Benutzeranmeldung" setzen.
Unter "Aktionen" "Programm starten" bearbeiten.
Programm/Skript= C:\SSL\UPDATE.bat.
Argumente müssen gelöscht werden.
Mit "Ok" bestätigen.

Das müsste soweit die aktuelle Version vom meinem Script sein.
Download hier:

Bei Fragen einfach fragen:)

Das skript ist sicher nicht perfekt und wer noch verbesserungen hat - her damit.

lycra

Hallo Murmelbahn,

das ist ja mal ne Anleitung
Erst mal Danke dafür.

Kurze Frage, das Verzeichnis C:\SSL mus immer bestehen bleiben oder kann das am Ende des Vorgangs gelöscht werden?
Ich frage deshalb weil wir bei uns auf dem Server David in D:\ installiert haben und das SSL eigentlich da nur stören würde.

Murmelbahn

C:\SSL muss bleiben. In D:\ kommt nix rein, das bleibt wie es ist.

lycra

Ich werde das morgen bzw die Tage mal testen
Danke jedenfalls für die super Anleitung!

Hat das schon jemand umgesetzt ?

nordtech

Hm, bei mir passiert nach der Abfrage der E-Mail-Adresse nix mehr. "Webbox wird gestartet" erscheint, neues Zertifikat wurde auch reingeschrieben, aber es geht leider nicht weiter.

Jetzt mitmachen!