Let's Encrypt

Na ist doch super das es nun klappt

Einzig das automatische erneuern ist halt nicht soo reibungslos

Zitat von stylistics

So sieht die Log Datei für Let's encrypt dann aus:

Irgendwie komisch, bei mir schreibt er zwar die Datei, ist aber komplett leer...

Wenn Sie leer ist wird die die Lets encrypt Exemplar nicht ausgeführt.

Was steht in der update_log.txt?

Zitat von stylistics

Was steht in der update_log.txt?

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Alle Rechte vorbehalten.


C:\SSL>@echo on


C:\SSL>setlocal


C:\SSL>set domain="mail.domain.de"


C:\SSL>set davidinstall="D:\David"


C:\SSL>set ssl-certs=c:\ssl\certs


C:\SSL>set ssl=c:\ssl


C:\SSL>NET STOP "David Webbox"
David WebBox wird beendet.
David WebBox wurde erfolgreich beendet.




C:\SSL>START "" /B "%ssl%\python.bat"


C:\SSL>START "" /WAIT ""%ssl%\letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/" >> %ssl%\update_log_renew.txt"


C:\SSL>c:\ssl\python.exe -m http.server 80 


C:\SSL>TASKKILL /IM python.exe /F
ERFOLGREICH: Der Prozess "python.exe" mit PID 5476 wurde beendet.


C:\SSL>timeout /t 5


C:\SSL>type "%ssl-certs%\*-key.pem" > %ssl-certs%\wbcert.pem


C:\SSL>type "%ssl-certs%\*-chain.pem" >> %ssl-certs%\wbcert.pem


C:\SSL>del "%davidinstall%\Apps\Webbox\Code\wbcert.pem"


C:\SSL>copy %ssl-certs%\wbcert.pem "%davidinstall%\Apps\Webbox\Code"


C:\SSL>NET START "David Webbox"
        1 Datei(en) kopiert.


C:\SSL>Mehr? David WebBox wird gestartet.
David WebBox wurde erfolgreich gestartet.




C:\SSL>

Zitat von stylistics

START "" /WAIT ""%ssl%\letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/" >> %ssl%\update_log_renew.txt"

Bei mir ist es das gleiche wie bei lycra. Trotz Umleitung erfolgt die Ausgabe von letsencrypt.exe direkt auf der Console, nicht ins Logfile. Das ist 0 bytes groß, allerdings auch dann, wenn die Erneuerung sauber durchgelaufen ist. Kann ich reproduzieren, wenn ich den Befehl direkt aus der Komandozeile starte: Ausgabe erfolgt ins Fenster, Befehl läuft erfolgreich durch, die update_log_renew.txt wird erstellt, bleibt aber 0 bytes groß.

Die Datei letsencryp.exe nutzt Serilog für die Protokollierung, und damit das sauber funtkioniert, muss man offenbar erst noch Pakete nachinstallieren. Mir war das irgendwann zu aufwändig, hab's daher nicht komplett durchgezogen.

stylistics: Nutzt du die letsencrypt.exe aus dem Archiv von Murmelbahn, oder evtl. eine andere?

Bei mir hatte die Log File Inhalt siehe Post weiter oben.

Ich schau mal ob ich noch was nachträglich angepasst hatte.

baut alles auf seinem Paket auf.

Welche Bewertung des Zertifikates erhaltet ihr?

Link:

Ich bekomme ein B sowie, dass die Kette nicht sauber ist.

Weiß jemand wie man ein CAA DNS bei zum Beispiel 1und1 setzt?

Gruß Michael

Wegen der Log Datei, hatte bei mir die update.bat angepasst:

START "" /B "%ssl%\python.bat"
%ssl%\letsencrypt.exe --renew --baseuri "https://acme-v01.api.letsencrypt.org/" >> %ssl%\update_log_renew.txt
TASKKILL /IM python.exe /F
timeout /t 5
type "%ssl-certs%\*-key.pem" > %ssl-certs%\wbcert.pem
type "%ssl-certs%\*-chain.pem" >> %ssl-certs%\wbcert.pem
del "%davidinstall%\Apps\Webbox\Code\wbcert.pem"
copy %ssl-certs%\wbcert.pem "%davidinstall%\Apps\Webbox\Code"
NET START "David Webbox"
exit

Zeile 2

Ich bekomme ein:

Nutze du meinen Update Script? Siehe Zeile 5&6 Erklärung > Let's Encrypt

Zitat von nordtech

ARGH! Wie heißt es so schön... Kaum macht man's richtig, schon funktioniert's!

Da muss ein Haken rein (Konfiguration Webbox):

Zitat von michaelstaehle

Welche Bewertung des Zertifikates erhaltet ihr?

Link:

Ich bekomme ein B sowie, dass die Kette nicht sauber ist.

Weiß jemand wie man ein CAA DNS bei zum Beispiel 1und1 setzt?

Gruß Michael

Für dich gilt das hier wohl
teste es mal aus.

Zitat von nordtech

Die Datei letsencryp.exe nutzt Serilog für die Protokollierung, und damit das sauber funtkioniert, muss man offenbar erst noch Pakete nachinstallieren. Mir war das irgendwann zu aufwändig, hab's daher nicht komplett durchgezogen.

Was meinst du muss noch gemacht werden? ich habe die Anleitung komplett befolgt und jeden Schritt gemacht.

Zitat von stylistics

baut alles auf seinem Paket auf.

Waran kann der unterschied noch liegen?
Ich habe es alles genau wie du aufgebaut... bleibt aber wie bei @nordtech 0byte groß

Zitat von stylistics

Zeile 2

Ok das war es bei mir nun.
Die Log Datei schreib nun folgendes:

The global logger has been configured
Let's Encrypt (Simple Windows ACME Client)
Renewal Period: 60
Certificate Store: WebHosting
ACME Server: https://acme-v01.api.letsencrypt.org/
Config Folder: C:\Users\Florian\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org
Certificate Folder: ./Certs
Loading Signer from C:\Users\Florian\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Signer
Getting AcmeServerDirectory
Loading Registration from C:\Users\Florian\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\Registration
Checking Renewals
Checking Manual mail.domain.de () Renew After 06.10.2017

Merkwürdig ist allerdings wieso nun hier 60 Tage steht, und nicht wie vorher 90 Tage gültig
Und laut ssslabs steht: Sun, 05 Nov 2017 13:

Zitat von stylistics

Ich bekomme ein:

bei mir was abgezogen..

Zitat von lycra

Merkwürdig ist allerdings wieso nun hier 60 Tage steht, und nicht wie vorher 90 Tage gültig

Nope 60 Tage...

Die log sieht so aus, wie Sie aussehen sollte.

Zitat von lycra

bei mir was abgezogen..

Das liegt daran das bei dir Chiffren verwendet werden, welche bei manchen Browsern KEIN PFS unterstützen.
Daher der Abzug.

Ok dann ist die log ja nun richtig
ich warte dann morgen früh mal ab ob wieder TLS Fehler kommt

Bei mir steht das auch mit DNS CAA, kenn das so gar ncht. Ist das notwendig?
Ich habe per a record die subdiain auf die ip gelinkt.

Zitat von stylistics

Das liegt daran das bei dir Chiffren verwendet werden, welche bei manchen Browsern KEIN PFS unterstützen.
Daher der Abzug.

Ist das einfach zu beheben? Ich müsste mich da glaub mal tiefer einlesen

Zitat von lycra

Bei mir steht das auch mit DNS CAA, kenn das so gar ncht. Ist das notwendig?

Hier mal die Infos zu DNS CAA:

Die Chiffren werden über die davidtls.ini gesteuert. Ich bin gerade bei neue Einstellungen zu testen.

Wow, das Thema ist ja richtig explodiert. Toll das ich damit helfen konnte.

Zitat von Murmelbahn

Wow, das Thema ist ja richtig explodiert. Toll das ich damit helfen konnte.

Danke dir!
Ja das hilft schon ungemein definitiv

Ich habe bei mir allerdings nun auf wöchentlich umgestellt zu überprüfen weil per Aufgabenplanung immer Fehler auftauchen

Hallo Zusammen,

da bei mir die automatische Verlängerung nicht einwandfrei funktiniert wollte ich es manuell machen.
Aber selbst manuell verlängert er es nicht.

Das zertifikat aktuell luft bis zum 05.11.2017
Da ich aber den Novemberkeine Zeit habe das zu kontrollieren müsste das irgendwie anders verlängert werden.
Kann ich das Zertifikat "löschen" und dann kurz vorher bspw diese oder anfang nächster woche neu machen, also so dass es neue 90 Tage hat?

Hallo,

selbes Problem auch hier...

- Zertifikat meiner Testinstallation läuft am 01.11.2017 aus
- update.bat verlängert das Zertifikat nicht
- in update_log_renew.txt steht u.a. folgendes:
Checking Renewals
Checking Manual mymail.mydomain.de () Renew After 11.12.2017

Eigentlich sollte sich das Zertifikat doch 30 Tage vor Ablauf verlängern lassen?

CU
Barabas

Kann ich auch bestätigen, bei keiner meiner Installationen war bisher eine Verlängerung möglich.