ZitatOriginal von 19Marc82
nur das für's Mailing nicht.
Was heisst denn das genau? Welche Dienst funktioniert nicht? Welche Fehlermeldung erhalten Sie?
ZitatOriginal von 19Marc82
nur das für's Mailing nicht.
Was heisst denn das genau? Welche Dienst funktioniert nicht? Welche Fehlermeldung erhalten Sie?
Hallo Herr Bradler,
wie beschrieben geht IMAP per SSL nicht. Outlook meldet, dass keine gesicherte Verbindung hergestellt werden kann.
Fehlermeldungen in den logs erhalte ich keine, jedenfalls finde ich keine.
Ich glaube ich brauche mal etwas Hilfe.
Mein Zertifikat, welches wie hier beschrieben wurde, ist abgelaufen. Es ist aber ein gekauftes Zertifikat und keins von letsencrypt.
Idealerweise würde ich es gerne gegen ein kostenloses von letsencrypt tauschen. Kann mir die Vorgehensweise jemand möglichst anfängerfreundlich erklären?
Ich glaube ich brauche mal etwas Hilfe.
Mein Zertifikat, welches wie hier beschrieben wurde, ist abgelaufen. Es ist aber ein gekauftes Zertifikat und keins von letsencrypt.
Idealerweise würde ich es gerne gegen ein kostenloses von letsencrypt tauschen. Kann mir die Vorgehensweise jemand möglichst anfängerfreundlich erklären?
Das Zertifikat muss unter /opt/pd-admin/sslcerts liegen und nach dem Hostnamen benannt sein. Dabei ist es egal, ob es ein kommerzielles Zertifikat oder das von Let's Encrypt ist. Anschließend wird dann das Skript http://download.pd-admin.de/dc-ssl-install.sh ausgeführt. Das sollte es dann gewesen sein.
Wenn etwas nicht klappt, sollte es ja irgendein Fehler geben... Den bräuchte man, um ein Ansatz zur Behebung zu haben.
TLS1.0 sollte übrigens im httpd Template ebenfalls deaktiviert werden, da unsicher. Die sieht es in meiner Apache 2.4 Konfigurieren aus:
SSLCipherSuite "ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256"
SSLProtocol All -SSLv3 -TLSv1 -TLSv1.1
SSLCompression Off
SSLHonorCipherOrder On
SSLSessionTickets Off
Für den Hostnamen muss dies manuell per certbot gemacht werden:
sollte zum erzeugen des Zertifikats funktionieren. Anschließend muss das Zertifikat per Symlink unter /opt/pdadmin/sslcerts/ hinterlegt werden. Die Zertifikatsdateien findet man unter /etc/letsencrypt/live/hostname/
Ok, das probiere ich mal. Wie macht man das mit dem Symlink?
Ganz einfach:
ln -s /Pfad/zur/Datei /Pfad/zum/symlink
Für den Hostnamen muss dies manuell per certbot gemacht werden:
sollte zum erzeugen des Zertifikats funktionieren. Anschließend muss das Zertifikat per Symlink unter /opt/pdadmin/sslcerts/ hinterlegt werden. Die Zertifikatsdateien findet man unter /etc/letsencrypt/live/hostname/
-bash: certbot: Kommando nicht gefunden.
Kann es sein das certbot nicht installiert ist? Wie installiere ich das?
ich habe probiert:
apt install certbot python-certbot-apache -t jessie-backports -y
Fehlermeldung: Der Wert »jessie-backports« ist für APT::Default-Release ungültig, da solch eine Veröffentlichung in den Paketquellen nicht verfügbar ist.
apt install certbot python-certbot-apache -y
Fehlermeldung: E: Paket certbot kann nicht gefunden werden.
E: Paket python-certbot-apache kann nicht gefunden werden.
E: Paket certbot kann nicht gefunden werden.
E: Paket python-certbot-apache kann nicht gefunden werden.
E: Paket certbot kann nicht gefunden werden.
E: Paket python-certbot-apache kann nicht gefunden werden.
-bash: certbot: Kommando nicht gefunden.
in dem Fall einmal /opt/pdadmin/bin/certbot-auto verwenden. Bei der ersten Ausführung werden dann noch benötigte Pakete nachinstalliert.
s1:~# /opt/pdadmin/bin/certbot-auto
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Certbot doesn't know how to automatically configure the web server on this syste m. However, it can still get a certificate for you. Please run "certbot-auto cer tonly" to do so. You'll need to manually configure your web server to use the re sulting certificate.
s1:~#
das hat soweit geklappt..
das brauche ich jetzt nicht mehr oder?
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/s1.stefanb341.de/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/s1.DOMAIN.de/privkey.pem
Your cert will expire on 2019-07-18. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Alles anzeigen
Ich hatte jetzt in
die Zertifikate und Keys erwartet. Dem ist leider nicht so. Ich finde da nur Verknuepfungen. Wie bekomme ich jetzt die Verweise in den richtigen Ordner?
Den Befehl
verwendet man, wenn man certbot per apt-get oder yum aus einem repository installiert hat. Es kann aber stattdessen certbot-auto von pd-admin verwendet werden... Kommt aufs gleiche raus.
Unter /etc/letsencrypt/live/s1.DOMAIN.de/ befinden sich
privatekey.pem, cert.pem und fullchain.pem. Die fullchain.pem wird als cacert Datei verwendet. Sieht dann so aus:
ls -al /opt/pdadmin/sslcerts
lrwxrwxrwx. 1 pdadmin root 50 26. Okt 2017 hostname-cacert -> /etc/letsencrypt/live/hostname/chain.pem
lrwxrwxrwx. 1 pdadmin root 49 26. Okt 2017 hostname-cert -> /etc/letsencrypt/live/hostname/cert.pem
lrwxrwxrwx. 1 pdadmin root 52 26. Okt 2017 hostname-key -> /etc/letsencrypt/live/hostname/privkey.pem
Ich habe folgende Befehle für die Links ausgeführt:
ln -s /etc/letsencrypt/live/s1.stefanb341.de/privatekey.pem /opt/pdadmin/s slcerts/s1.stefanb341.de-key
ln -s /etc/letsencrypt/live/s1.stefanb341.de/cert.pem /opt/pdadmin/sslcerts/s1.stefanb341.de-cert
ln -s /etc/letsencrypt/live/s1.stefanb341.de/fullchain.pem /opt/pdadmin/sslcerts/s1.stefanb341.de-cacert
Wenn ich dann dc-ssl-install.sh aufrufe, bekomme ich folgende Meldung:
s1:~# ./ dc-ssl-install.sh
-bash: ./: Ist ein Verzeichnis
s1:~# ./dc-ssl-install.sh
+ '[' '' == '' ']'
++ /opt/pdadmin/bin/hostname.pl
+ H=s1.stefanb341.de
+ test -e /opt/pdadmin/sslcerts/s1.stefanb341.de-key
+ echo '/opt/pdadmin/sslcerts/s1.stefanb341.de-key not found'
/opt/pdadmin/sslcerts/s1.stefanb341.de-key not found
+ echo 'usage: ./dc-ssl-install.sh <hostname>'
usage: ./dc-ssl-install.sh <hostname>
+ exit 1
Alles anzeigen
Irgendwas ist da noch falsch...
Es wird geprüft, ob s1.stefanb341.de-key vorhanden ist. Die Fehlermeldung lautet, dass die Datei nicht gefunden wird. Also muss geprüft werden wieso... Tippfehler? Symlink korrekt? Korrekte Datei-/Ordnerberechtigungen?
Ich vermute es liegt an den Berechtigungen. Wie setze ich die richtig?
Ich vermute es liegt an den Berechtigungen. Wie setze ich die richtig?
Ich denke eher es liegt an der Erstellung des symlinks.
Bei der Erstellung des symlinks wurde
ln -s /etc/letsencrypt/live/s1.stefanb341.de/privatekey.pem /opt/pdadmin/s slcerts/s1.stefanb341.de-key
eingebenen. Bei mir heißen die private key Dateien von Let's Encrypt "privkey.pem" und nicht wie angegeben "privatekey.pem". Wäre jedenfalls ein Grund weshalb die Datei nicht gefunden würde.
Stimmt, das ist bei mir auch so. Ich habe die Verlinkungen für den hey gelöscht und neu gesetzt. Trotzdem folgender Fehler:
s1:~# ./dc-ssl-install.sh
+ '[' '' == '' ']'
++ /opt/pdadmin/bin/hostname.pl
+ H=s1.stefanb341.de
+ test -e /opt/pdadmin/sslcerts/s1.stefanb341.de-key
+ echo '/opt/pdadmin/sslcerts/s1.stefanb341.de-key not found'
/opt/pdadmin/sslcerts/s1.stefanb341.de-key not found
+ echo 'usage: ./dc-ssl-install.sh <hostname>'
usage: ./dc-ssl-install.sh <hostname>
+ exit 1
s1:~#
Alles anzeigen