Hosteurope LetsEncrypt-SSL-Script

  • Hallo zusammen


    Super Sache, vielen Danke für deine Zeit für die Anleitung und das Video!

    Leider bleibt das Skript stehen bei einer Subdomain. Viele andere Domain (14) vorher haben einwandfrei geklappt im Skript.
    Ja, ich möchte ein Zertifikat für ca. 20 Domainnamen erstellen. Habe ich bis jetzt auch immer gemacht bei zerossl.com aber da es nicht mehr kostenlos ist versuche ich es nun über diesen Weg.

    Subdomain ist erreichbar -> it.vape.ch und führt wie die anderen Domain an das gleiche Ziel im Web.

    Im Skrip kommt aber die Meldung:


    Validation failed: it.vape.ch

    Triggering remove callback for it.vape.ch

    Error: Challenge validation failed: CAA record for it.vape.ch prevents issuance (urn:ietf:params:acme:error:caa)

    mkdir(): File exists

    ./myletsencrypt.sh: line 32: --csr: command not found



    An was könnte es liegen?

  • Hallo,


    was ist das für eine Domain? Gehört die zum Webpack oder ist die bei einem externen Anbieter? Die Fehlermeldung bedeutet soviel wie: Du darfst für diese Domain kein Zertifikat erstellen.


    Hier wird die Sache erklärt:


    https://www.internetx.com/news…-warum-ist-er-so-wichtig/

    https://de.wikipedia.org/wiki/…n_Authority_Authorization


    Der CAA Eintrag legt fest, welche Zertifizierungsstellen eine Zertifikat ausstellen dürfen für eine Domain.


    Gruß

    Andy

  • Ciao Andy

    Domain ist bei Hosteurope Schweiz und der Webserver läuft bei Hosteurope Deutschland. Domain ist als externe Domain eingebunden.

    Gemäss Chat mit dem Hosteurope Support liegt keine Sperrung von Letsencrypt.org in den CAAs vor.

    A Record für Domain und Subdoamin ist vorhanden (automatisch erstellt).


    Subdomain zeigt wie allen anderen Domains auf das den gleichen Pfad (wir brauchen die Subdomain für die italienische Seite).

    kann mir keinen Reim darauf machen, warum ich diese Meldung bekomme.

    Ich lese mal deine Links durch. Habe aber schon einiges gegoogelt in der zwischenzeit und es heisst immer, CAA wird aktiv gesperrt bei diesem Fehler, was aber vom Support ja verneint wurde.

  • Hallo Andy,


    danke für das ausführliche Tutorial.

    Habe die Daten soweit angepasst und das Script gestartet.

    Scheinbar entsteht aber ein Problem mit dem Curl Aufruf.


    Error in GnuTLS initialization: Failed to acquire random data.

    Generating account file

    ---------------------------


    Registering with LetsEncrypt

    ----------------------------

    Registering account

    Initializing ACME v2 live environment

    Using cURL

    Error: HTTP Request Error: Could not resolve host: acme-v02.api.letsencrypt.org


    Muss ich das Curl noch mit hochladen?


    Besten Dank für einen hilfreichen Tipp


    Gruß


    Dietmar

  • Hallo Andy,


    danke für die schnelle Antwort. Ich habe diese Einstellungen ebenfalls angepasst, da ich das auch bereits in Verdachte hatte.

    Leider geht es aber auch Stunden nach der Änderung nicht.

    Ich werde daher mal den Support von hosteurope bemühen müssen.

    Habe die Befürchtung, dass trotz Zugriff auf die ssh-Console nicht alle Funktionen aus dem Script zugelassen sind.

    Habe "nur" ein Webhosting Produkt und keinen WebServer gebucht.


    Aufgrund dieses Hinweises aus der hosteurope-Doku (https://www.hosteurope.de/faq/…ck/ssh-zugang-webhosting/) gehe ich aktuell davon aus, dass curl nicht unterstützt wird:

    Einschränkungen

    Folgende Funktionen stehen Ihnen erst ab unseren WebServer Produkten zur Verfügung:

    ...

    • Aufbau von Verbindungen zu externen Servern (z.B. via cURL, wget oder aus einem Skript heraus)

    ...


    Werde dann mal ein Update geben, wenn ich Antwort von Host Europe bekommen habe.


    LG


    Dietmar

  • Hallo Andy,


    vielen Dank für das Engagement Hosteurope-Kunden eine alternative Lösung in Text- und Video-Form aufzuzeigen, wie sie kostenlose SSL-Zertifikate von Letsencrypt für Webserver-Produkte trotz der fehlenden Unterstützung durch Hosteurope nutzen können. Ich werde die Anleitung in den nächsten Tagen testen und anschließend berichten, wüsste aber vorher gerne, ob die folgende Anleitung zur Konfiguration eines SSH-Zugangs hinsichtlich Software empfehlenswert ist!? Die teils unklare Beschreibung soll wohl abschreckend auf die eigenen Kunden wirken. Siehe: https://www.hosteurope.de/faq/…ssh-zugang-konfigurieren/


    HG

  • Hallo Andy,


    eine erste Frage - die Anleitung betreffend - habe ich auch: In der Anleitung steht "Sofern noch kein Account-Key oder privater Schlüssel vorhanden ist, kein Problem. Das Script legt diese automatisch an. In diesem Fall lassen wir die Dateinamen wie sie sind."


    Wenn für mehrere Domains bereits ein Account-Key und ein privater Schlüssel über ZeroSSL bei Letsencrypt erstellt wurde, sollten oder müssen diese dann beibehalten werden, oder kann man beide trotzdem (aus Gründen der Sicherheit) neu erstellen lassen?


    Vielen Dank!


    HG

  • Hallo HG,


    freut mich, dass Du das Script nutzt. Meine Hoffnung ist ja immer noch das HE das irgendwann mal anbietet und es automatisch auf Knopfdruck funktioniert. Zu den Keys: ich habe auch einfach neue Keys erzeugt, das macht nicht wirklich einen Unterschied für das neue Zertifikat. Ich glaube der einzige Grund für den alten Key wäre, dass Du damit bestehende Zertifikate ungültig machen lassen kannst bei LetsEncrypt. Ansonsten bekommst Du dann vermutlich mehrere E-Mails, dass Zertifikate auslaufen, wenn Du einen neuen Account-Key registrierst, da die "alten" Zertifikate auslaufen.


    Wegen dem SSH-Zugang. Ich habe da einfach ein Passwort vergeben. Login per SSH-Key habe ich nicht gemacht.


    Gruß

    Andy

  • Hallo Andy,


    Vielen Dank für die ersten Infos!


    Nach meiner Meinung erzwingt das Login per SSH-Key - wie von Hosteurope beschrieben - nur eine Zwei-Faktor-Authentifizierung, was sinnvoll ist, um den direkten Zugang über das KIS auf den Server auszuschließen, falls das Passwort mal in fremde Hände fällt. Aber für einen Test ist das natürlich nicht erforderlich.


    "Wegen dem SSH-Zugang. Ich habe da einfach ein Passwort vergeben. Login per SSH-Key habe ich nicht gemacht."


    Okay, vielleicht eine banale Frage, aber über das KIS kann man nicht auf die Dateien im Root-Verzeichnis zugreifen, sondern man braucht einen Client, wie FTP, der normalerweise nur auf das www-Verzeichnis abwärts zugreifen kann. Wurde dazu also ein zweiter FTP-Zugang mit dem SSH-Passwort erstellt?


    Was mache ich also, wenn ich ein SSH-Passwort erstellt habe, um die bearbeiteten Skripte einrichten zu können. Denn in der Anleitung heißt es nur: "Idealerweise laden wir das Script mit dem SSH-Benutzer hoch, damit dieser auch gleich die Schreibrechte auf das Script und den Ordner hat". Welcher SSH-Benutzer, der FTP-Zugang mit SSH-Kennwort?


    Deshalb verstehe ich auch nicht, wie ich die Skripte mit

    Code
    chmod +x myletsencrypt.sh

    ausführbar machen kann!


    Jetzt zum korrekten Pfad in der Datei myletsencrypt.sh:


    1. Ich nehme mal an, dass der Pfad auf den Ordner der erste Ebene einer CMS-Struktur verweisen muss, bzw. wo die Datei index.php liegt, korrekt?


    2. Aber welcher Grundpfad ist der richtige, der mit ".server-he.de" oder der, der im KIS unter "Allgemeine Informationen" als erster "Pfad" unter der IPv6 Adresse angegeben ist?


    3. Lassen sich über ein Multi-Domain-Zertifikat von Letsencrypt auch alle Subdomains mehrerer Domains als Wildcard mit "*." absichern?


    Herzliche Grüße (=HG) und vielen Dank im voraus,


    Sparen

  • Hallo HG,


    ich habe die Dateien vom Script einfach per FTP hochgeladen und dann über die Dateiverwaltung dem Scriptordner dem wp-Benutzer zugewiesen, damit ich diese online bearbeiten kann bzw. das Script über SSH in den Ordner schreiben kann. Extra Zugänge musst Du normal keine einrichten.


    Was den Pfad angeht, der Pfad muss in den Root-Ordner der Domain zeigen. Das wird meist in der Tat der "index.php" Ordner des CMS sein. Wenn Du mit SSH in den Ordner gehst und "pwd" eingibt, bekommst Du den Pfad angezeigt, welchen Du verwenden musst in der Datei. Im Kis wird der Pfad auch angegeben:



    Der muss dann entsprechend um die Unterordner erweitert werden.


    Wildcard-Zertifikate lassen sich mit dem Script nicht erstellen. Der PHP-Client im Script kann das, Beispiel findest Du hier:

    https://github.com/skoerfgen/ACMECert


    Dazu müssen aber DNS-Einträge erstellt werden, was den Prozess deutlich komplexer macht. Ich habe daher einfach alle Domains und Subdomains in die myletsencrypt.sh eingetragen und erstelle so für jede Domain/Subdomain das Zertifikat.


    Gruß

    Andy

  • Hallo Andy,


    Script-Bearbeitung, Pfad, Wildcard usw. alles klar, danke!


    Zitat

    Ich habe die Dateien vom Script einfach per FTP hochgeladen und dann über die Dateiverwaltung dem Scriptordner dem wp-Benutzer zugewiesen,


    okay, verstanden!


    Zitat

    damit ich diese online bearbeiten kann bzw. das Script über SSH in den Ordner schreiben kann. Extra Zugänge musst Du normal keine einrichten.

    Wie mache ich das, wenn ich keine "extra Zugänge einrichten muss"?


    Was mir und vermutlich vielen anderen, die bisher nur per FTP auf ihren Webserver zugegriffen haben, noch nicht klar ist, was mache ich konkret nach dem ich das SSH-Passwort angelegt habe, um die bearbeiteten Skripte einrichten zu können. Denn in der Anleitung heißt es nur: "Idealerweise laden wir das Script mit dem SSH-Benutzer hoch, damit dieser auch gleich die Schreibrechte auf das Script und den Ordner hat".


    Ist dieser SSH-Benutzer also doch ein extra Zugang mit dem FTP-Client (z. B. Filezilla), in dem das SSH-Passwort hinterlegt ist, oder ein anderer SSH-Client?


    Wie komme ich auf die Kommando-Ebene, um Skripte wie


    Zitat

    chmod +x myletsencrypt.sh


    ausführbar zu machen?


    Vielen Dank!


    Sparen

  • Moin Andy,


    zunächst einmal vielen Dank für die tolle Anleitung!

    Mir ist aber aufgefallen, dass in deinem Video eine Datei mehr enthalten ist, als in dem aktuellen Zip-Ordner (generate_keys.php fehlt). Ich habe versucht das Skript auszuführen, jedoch scheitert es mit folgender Fehlermeldung:


    Error: Unknown Parameter: csr.pem


    Hängt das eventuell zusammen?


    Viele liebe Grüße

    Zimtkolibri

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • 8|
    • :cursing:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    Maximale Anzahl an Dateianhängen: 10
    Maximale Dateigröße: 1 MB
    Erlaubte Dateiendungen: bmp, gif, jpeg, jpg, pdf, png, txt, zip

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!