Beiträge von fn0rd

Zitat von Jockel

Forderst du da was was deine Firma selbst nicht machen würde?

Welche neue Leistungen führt deine Firma flächendeckend für alle Kunden gratis ein die aber nicht
dafür bezahlen?

Nein, ganz und gar nicht. Ich will das ja auch nicht zu tief hängen, dass die Funktion jetzt (endlich) überhaupt eingefügt wurde. Was ich hier kritisch sehe, ist der Versuch, Kunden mit Plüschhandschellen im goldenen SiteCare-Käfig anzuketten.

Wer kein SiteCare hat, bekommt die Funktion ja ohnehin nicht geschenkt und müsste sich ein Update kaufen. Also hat niemand kostenlos gearbeitet. Aber die Funktion nachträglich und ohne Not zu deaktivieren, nur weil SiteCare nicht verlängert wird, kann ich nicht nachvollziehen. Es ist ja nun nicht so, als müsste da alle 60 Tage ein Mitarbeiter hingehen und ein neues Zertifikat einlöten, das geht vollkommen automatisch.

Und klar, da kann man natürlich einwenden, dass sich ja an der LE-API etwas ändern könnte und dann Nachbesserungen im Code erforderlich werden. Und wenn das der Fall sein sollte, würde ich auch nicht von Tobit einfordern, diese Änderungen kostenlos zu verteilen. Dann muss man eben wieder ein Update kaufen.

Da würde ich es ja eher verstehen, wenn die ActiveSync-Schnittstelle bei abgelaufenem SiteCare deaktiviert würde. Denn dafür müssen schließlich im Gegensatz zu Let's Encrypt Lizenzgebühren entrichtet werden, wenn mich nicht alles täuscht. Hoffentlich liest das hier keiner von Tobit mit, sonst ist es im nächsten Rollout soweit.

Also richtige Freude will bei mir nicht aufkommen. Das ist doch mal wieder eine typische Tobit-Umsetzung.

1. funktioniert nur mit aktiver SiteCare? Was soll das denn bitte?

2. bei der Beantragung kann nur eine einzige (Sub-)Domain angegeben werden? Es gibt sogar eine extra Fehlermeldung dafür, wenn man alternative Namen einzugeben versucht. Das ist doch eine mutwillige Beschneidung der Möglichkeiten von Let's Encrypt.

3. Nirgendwo wird erwähnt, dass es sich hier um nichts weiter als die Nutzung der API von Let's Encrypt handelt. Nicht einmal in den Changelogs. Das sieht man erst im ausgestellten Zertifikat. Veilleicht, weil die Kopplung eines eigentlich für jedermann kostenlosen Dienstes an eine ganz und gar nicht kostenlose Maintenance von Tobit gebunden wird?

Ich muss schon sagen, abgesehen von der einfacheren Handhabung für nicht so versierte Anwender sehe ich zur Script-Lösung nur Nachteile.

Den Update

Zitat von lycra

Was hast du manuell ausgeführt? Die Update.bat? oder was genau?

Die Aufgabe im Taskplaner. Genau die, die auch automatisch ausgeführt wird. Das macht die Sache ja so mysteriös.

Diesen Fehler hatte ich heute auch. Das liegt nicht am Port sondern am Zertifikat. Bei der Aktualisierung in der Nacht ist in die wbcert.pem nur der RSA Private Key kopiert worden, der Rest aus der %domain%-chain.pem fehlte komplett. Bei erneuter manueller Ausführung war die wbcert dann wieder vollständig und konnte geladen werden.

Komische Sache, ich habe dafür noch keinen Grund finden können.

Zitat von lycra

So nachdem ich mich mal hier durch gelesen habe und kein TObit Partner wie die meisten hier bin, sondern selbst "Kunde" demnach nicht ganz so versiert bin frag ich lieber nochmal

Und zwar hab ich mir die erste Anleitung durchgelesen, ist verständlich usw.
Nun hat @stylistics etwas verändert/verbessert, allerdings weiß ich nun nicht genau wo ich starten soll

Was genau muss ich nun von stylistics nehmen und was noch vom ersten Code/bzw. Anleitung?

Im Prinzip gilt die Anleitung von Murmelbahn weiter, nur folgende Abweichungen sind nötig:

1. den Inhalt von install.bat und update.bat mit den Änderungen von stylistics überschreiben (siehe Post 42)
2. die zusätzliche Datei call_update.cmd in Verzeichnis C:\SSL erstellen und folgenden Inhalt einfügen:

@echo off
    cmd.exe < c:\ssl\update.bat
    exit

Danach sieht die aktualisierte Anleitung so aus:

Anlegen einer Subdomain beim DNS Provider des Kunden. Beispielsweise mail.domain.tld. Diese muss auf die externe IP des Kunden bzw dessen DynDNS zeigen.
Kopieren des Skriptes SSL.zip auf Laufwerk C des David Servers des Kunden.
Entpacken des Skriptes, alle Inhalte müssen unter C:\SSL auf dem David Server des Kunden liegen.
SSL.zip löschen.
Sicherstellen das Port 80 in der Firewall auf den David Server geforwarded wird.
C:\SSL\INSTALL.bat als Administrator ausführen.
Das Skript fragt nach der Domain unter der die Webbox angesprochen werden soll. Beispielsweise mail.domain.tld.
Das Skript fragt nach dem Pfad zur David installation. Beispielsweise D:\David, C:\David. Wichtig: Keinen Backslash am Ende des Pfades eintragen.
Anschließend wird die Webbox beendet.
Als nächstes fragt das Lets Encrypt Script nach einer Mail Adresse an die Mails geschickten werden sollen wenn das Zertifikat abläuft. Hier am besten [email=info@]info@ [/email]angeben.
Im Hauptmenü der Anwendung "M: Generate a certificate manually" auswählen.
Nun den Namen der Subdomain für die das Zertifikat generiert werden soll eingeben: mail.domain.tld.
Die Abfrage nach dem site path mit Enter bestätigen.
Die nächste Abfrage mit "N" beantworten.
Ein letztes mal "Enter" beendet das Script

Unter C:\SSL\Certs sind alle Files wie Certificate, Key und Request. Hier nichts löschen! Bei beenden des Scripts wurde eine wbcert.pem erstellt und in das Verzeichnis der Webbox kopiert, falls bereits eine
wbcert.pem vorhanden war wird die in wbcert_old.pem umbennant.

Im David Administrator -> Webbox -> Konfigurieren -> Domain mail.domain.tld eintragen.
Webbox neu starten
Als nächstes unter C:\SSL\UPDATE.bat bearbeiten.
Unter set domain den Namen der Subdomain eintragen.
Unter set davidinstall den Pfad zur David Installation ohne Backslash am Ende eintragen.
Das File speichern.
In die Aufgabenplanung des Servers gehen.
Den Task "letsencrypt-win-simple httpsacme-v01.api.letsencrypt.org" bearbeiten.
Den Radiobutton unter "Allgemein" bei "Unabhängig von der Benutzeranmeldung" setzen.
Unter "Aktionen" "Programm starten" bearbeiten.
Programm/Skript= C:\SSL\call_UPDATE.cmd
Argumente müssen gelöscht werden.
Mit "Ok" bestätigen.

Zitat von nordtech

Wenn man böse denkt, könnte es natürlich sein, dass kostenlose Erweiterungen nicht erwünscht sind und man lieber selbst Zertifikate anbieten/verkaufen möchte. Oder man hält die Vorarbeit mit dem Setzen von A-Record bzw. CNAME für zu support-anfällig. Keine Ahnung.

Ich würde eher auf die erste Option tippen. Denn wenn man nicht ausgerechnet den SLS von Tobit einsetzt, hat man die Arbeit ja ohnehin schon erledigt. Und selbst wenn man SLS einsetzt, sollte das kein Problem sein. Ich vergleiche das jetzt einfach mal mit dem 3CX Phone System. Bei der Installation der virtuellen Appliance legt man seine Subdomain fest, das wird dann umgesetzt auf sowas wie . Für den Fall einer dynamischen IP wird automatisch die Appliance selbst für diese Domain zu einem DynDNS-Client, der IP und Subdomain immer aktuell hält. Und gleich der nächste Schritt ist die (vollautomatische) Erstellung eines Zertifikats von Let's Encrypt, das automatisch bei Ablauf verlängert wird. Obendrein gibt es dann noch eine automatische Statusmail, die über die erfolgte Verlängerung informiert. Der ganze Prozess ist im Prinzip nicht mehr als persönliche Daten eingeben und weiter - weiter - fertigstellen klicken (gut, mal abgesehen von der Erstellung der Portfreigaben in der Firewall).

Also, wenn man will dann geht das.

In der Tat, die hängenden Konsolenfenster im Taskmanager hatte ich auch, aber keine hängende letsencrypt.exe.

Nachdem ich jetzt auch auf die call_update.bat von stylistics umgestellt habe, sind auch die Konsolenfenster nicht mehr vorhanden.
Soweit scheint ja dann alles i.O. zu sein. Für einen Live-Einsatz in Kundensystemen werde ich aber wohl noch zumindest bis zum Ablauf des Zertifikats warten und schauen, ob auch wirklich eine automatische Aktualisierung stattfindet.

Ansonsten auch von mir noch einmal herzlichen Dank an alle Beteiligten. Meiner Meinung nach ist es ein Trauerspiel, dass Tobit dies nicht selbst anbietet. Aber die sollen besser erst einmal zusehen, dass sie alle Funktionen des alten Clients in die Dekade 3 rübergeschaufelt bekommen...

Das mache ich glaube ich jetzt zur Voraussetzung dafür, wann ich das nächste Rollout installiere: sobald ich im Administrator unter WebBox einen Tab mit der Aufschrift "Let's Encrypt" finde.

Grüße
Michael

Hm. Komisch, dass es noch so viele Probleme gibt. Bei mir läuft das Update einwandfrei jede Nacht durch, sogar nur mit der Update.bat, ohne zusätzliches Script zum laden oder so.

Kann das eventuell an einer anderen David-Version liegen? Meine ist nämlich mit Rollout 265 noch etwas älter. Ansonsten ist mein Host ein ganz normaler Server 2012 R2 Standard.

Hier einmal zum Vergleich meine Einstellungen für den Task und das Script selber:

set domain=mail.domain.tld
set davidinstall=D:\David
NET STOP "DavidWebBox"
START "" /B python.bat
START "" /WAIT ""letsencrypt.exe --renew --baseuri https://acme-v01.api.letsencrypt.org/""
TASKKILL /IM python.exe /F
cd ./Certs
type *-key.pem > wbcert.pem
type %domain%-crt.pem >> wbcert.pem
type ca-*.pem >> wbcert.pem
del "%davidinstall%\Apps\Webbox\Code\wbcert.pem"
copy wbcert.pem "%davidinstall%\Apps\Webbox\Code"
NET START "DavidWebBox"

Ok, das scheint bei Let's Encrypt im Forum ein bekanntes Problem zu sein:

In diesem Fall geht es zwar konkret um Apache, aber das Problem ist dasselbe. Wenn ich mit dem durch das Script generierten Zertifikat einen Test unter laufen lasse, dann bekomme ich nur ein B als Bewertung, da die Zertifikatkette nicht vollständig übermittelt wird. Was fehlt, ist das CA-Zertifikat von Let's Encrypt:

Let’s Encrypt Authority X3 (IdenTrust cross-signed)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Wenn ich diesen Block noch am Ende der wbcert.pem anfüge und die Webbox neu starte, wird die Verbindung sofort von allen hier verfügbaren Android-Geräten akzeptiert, und die Bewertung von SSLLabs steigt auf A-.Wenn man das Anfügen dieses Codeblocks jetzt noch in der install.bat und update.bat unterbringen kann, sollte das Problem gelöst sein.

EDIT:
Ich hatte in der update.bat auch noch das Problem, dass bei der manuellen Ausführung immer eine Fehlermeldung erschien, dass der Pfad zu letsencrypt.exe nicht gefunden werden kann. Da war wohl ein Anführungszeichen zu wenig (oder zuviel), ich habe das jetzt einmal angepasst und auch das einfügen des CA-Zertifikats in die wbcert.pem mit eingebaut. Das wird nämlich bei der Erstellung des Zertifikats mit im Order "Certs" abgelegt mit einem Namen wie "ca-0A0141420000015385736A0B85ECA708-crt.pem" und muss dann nur noch mitgenommen werden.

set /p domain=[Fuer welche Domain soll ein Zertifikat erzeugt werden?]set /p davidinstall=[Wohin wurde David installiert?]NET STOP "David Webbox"START "" /B "python.bat"START "" /WAIT "letsencrypt.exe"TASKKILL /IM python.exe /Fcd ./Certstype *-key.pem > wbcert.pemtype %domain%-crt.pem >> wbcert.pemtype ca-*-crt.pem >> wbcert.pemmove "%davidinstall%\Apps\Webbox\Code\wbcert.pem" "%davidinstall%\Apps\Webbox\Code\wbcert_old.pem"copy wbcert.pem "%davidinstall%\Apps\Webbox\Code"NET START "David Webbox"

set domain=mail.domain.tld
set davidinstall=D:\David
NET STOP "DavidWebBox"
START "" /B python.bat
START "" /WAIT letsencrypt.exe --renew --baseuri https://acme-v01.api.letsencrypt.org/
TASKKILL /IM python.exe /F
cd ./Certs
type *-key.pem > wbcert.pem
type %domain%-crt.pem >> wbcert.pem
type ca-*-crt.pem >> wbcert.pem
del "%davidinstall%\Apps\Webbox\Code\wbcert.pem"
copy wbcert.pem "%davidinstall%\Apps\Webbox\Code"
NET START "DavidWebBox"

Bitte testet einmal, ob diese Anpassungen auch bei euch funktionieren, dann kann Murmelbahn das ja vielleicht in einer neuen SSL.zip zusammenfassen und neu veröffentlichen.

Grüße
Michael

Ich beobachte dieses Thema schon eine geraume Weile, und ich muss sagen: es hat sich gelohnt.

Dafür musste ich mich auch direkt einmal registrieren, um mich für die Anleitung und das Script zu bedanken.

Allterdings habe ich noch ein Problem. Die Erstellung des Zertifikats und die Einbindung in die Webbox funktionieren wunderbar, und wenn ich mit einem Browser auf die Adresse zugreife, sehe ich auch das richtige Zertifikat in Verwendung. Bei der Einrichtung in Android (sowohl 6.0.1 als auch 7.1.1) wird dem Zertifikat jedoch nicht vertraut, obwohl der CN mit der Domain übereinstimmt.

In iOS-Geräten wiederum habe ich gar kein Problem, da wird alles auf Anhieb mit Haken versehen und akzeptiert.

Gibt es da irgendwie generell Probleme mit Android, die bekannt wären? Ich benutze Let's Encrypt bereits auf diversen Nextcloud-Installationen ohne Probleme und bin daher etwas erstaunt...

Grüße
Michael