Let's Encrypt: kostenlose SSL-Zertifikate

Status
Für weitere Antworten geschlossen.

Phonix

Benutzer
Mitglied seit
10. Jul 2012
Beiträge
58
Punkte für Reaktionen
0
Punkte
0
Wow, vielen Dank für diese ausführliche Anleitung. Dann versuche ich das ganze Prozedere nachher gleich nochmal, bisher hatte es nämlich bei mir auch nie funktioniert. Vermute mal, dass da auch mit der Codierung was nicht ganz hingehauen hat
 

andisds

Benutzer
Mitglied seit
06. Sep 2013
Beiträge
99
Punkte für Reaktionen
2
Punkte
8
PS: Ich saß jetzt mit dem, der die Anleitung auf Englisch verfasst hat eine Stunde per TeamViewer auf meinem Ubuntu bis wir das alles hin bekommen haben. Nette Nebeninfo: Er ist Chinese und arbeitet bei Synology in der Entwicklung (Quality Control Cloud Station) und will InHouse die implementierung vom ACME-Protokoll durchsetzen ;)

Falls weitere Fragen bestehen sollten, gerne stellen =)

Mit meiner 215+ will es nicht klappen, immer noch: virutalenv not found

virtualenvnotfound.JPG
 

Olli991

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Ähm.. du musst das script auf Ubuntu laufen lassen, nicht auf der DiskStation. Das zertifikat wird auf dem Ubuntu-System generiert und dann manuell auf der DiskStation von dir eingeladen. So wie das für mich aussieht, versucht du per Terminal in Ubunto das auf deiner DiskStation auszuführen..
 

andisds

Benutzer
Mitglied seit
06. Sep 2013
Beiträge
99
Punkte für Reaktionen
2
Punkte
8
:D ... Haja klar ich Dapp, du hast es ja noch zu Anfang geschrieben

... so fast geschafft und doch gescheitert. Ab hier:

FehlerIPv4_1.png

macht mir die Infrastruktur zuhause einen Strich durch die Rechung, da ich nämlich über Unitymedia einen DSLite-Anschluss habe und mein System ohne Umwege nur über IPv6 erreichbar ist!
 
Zuletzt bearbeitet:

Olli991

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
macht mir die Infrastruktur zuhause einen Strich durch die Rechung, da ich nämlich über Unitymedia einen DSLite-Anschluss und mein System ohne Umwege nur über IPv6 erreichbar ist!

Jap mit DSLite kommst du per IPv4 ja nicht bis zu deiner NAS, Port 80 verschwindet somit im Nichts. Da wüsste ich so jetzt auch keine Lösung zur Zeit. Außer dir bei UM ne v4 geben zu lassen. Ich bin bei KabelDeutschland, die hatten mich auch umgestellt auf DSLite und dann habe ich da einmal angerufen und gesagt, jo meine ganze SmartHome geschichte ist nicht mehr Erreichbar von außen, (Zumahl ja auch unsere tollen Mobilfunkanbieter bisher nur im v4 Netz unterwegs sind) Die haben mir dann ne v4 bereit gestellt, kostenfrei.
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
Hab mir jetzt auf der Syno eine Xubuntu VM erstellt (läuft deutlich besser als Ubuntu) und dort die Zertifikate erstellt!
Danke Olli991 für die Anleitung...
 

KingYellow

Benutzer
Mitglied seit
24. Nov 2015
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Zuerst einmal auch von mir Dank an Olli991 für die Anleitung.
Bin dieser auf einem Server mit Ubuntu 14.04.3 LTS gefolgt. Schien alles nach Plan zu laufen, am Ende befanden sich unter etc/letsencrypt aber nur die Ordner /accounts, /csr, /keys, und /renewal. Von /archive keine Spur. In /csr bzw. /keys war je eine Datei 0000_key-letsencrypt.pem bzw. 0001_csr-letsencrypt.pem, die neu erzeugt wurden.
Idee?
 

Olli991

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Zuerst einmal auch von mir Dank an Olli991 für die Anleitung.
Bin dieser auf einem Server mit Ubuntu 14.04.3 LTS gefolgt. Schien alles nach Plan zu laufen, am Ende befanden sich unter etc/letsencrypt aber nur die Ordner /accounts, /csr, /keys, und /renewal. Von /archive keine Spur. In /csr bzw. /keys war je eine Datei 0000_key-letsencrypt.pem bzw. 0001_csr-letsencrypt.pem, die neu erzeugt wurden.
Idee?

Du kannst den ordner nur sehen, wenn du Rootrechte hast. Ich habe das ganze gemacht, indem ich im Terminal folgendes eigegeben habe

Rich (BBCode):
sudo apt-get install nautilus
gksudo nautilus &

Dann damit an den Ort navigieren, die Zugriffsrechte der Datein ändern und in den Home-Ordner des Hauptnutzers von Linux kopieren. Anschließend von dort aus hoch laden.
 

KingYellow

Benutzer
Mitglied seit
24. Nov 2015
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Hallo Olli991,
besten Dank für den Tipp.
Leider bin ich noch nicht weiter. Dachte zunächst root-shell würde reichen. Dann habe ich deinen Weg über nautilus versucht, komplett mit neuem Ubuntu in Hyper-VM auf meinem Windows-Rechner, weil ich auf meinem eingentlichen Server keine zusätzlichen Pakete wollte. Leider genauso erfolglos. Auch mit aktiviertem root-passwd (auf der VM habe ich mich das mal getraut :rolleyes:) und root-login war nichts von /archive zu sehen....
 

bastians

Benutzer
Mitglied seit
29. Jun 2011
Beiträge
65
Punkte für Reaktionen
0
Punkte
6
Moin,

hier meine Erfahrungen mit letsencrypt Zertifikaten:

Ich habe mich für eine Debian Jessie VM unter VirtualBox entschieden (ist aber im Grunde nur Geschmackssache).

Dann habe ich auf dem Debian die Webroot meiner Synology (192.168.17.2) gemounted:

mkdir /webrooot
mount -t cifs //192.168.17.2/web /webroot

Dadurch kann man beim letsencrypt Client die Webroot-Authentifizierung nutzen, vorausgesetzt alle domains für das Zertifikat zeigen auf die Synology webroot, macht vieles einfacher.

Und jetzt das Zertifikat holen:

./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory certonly --domains "fritzbox.meinedomain.eu,synology.meinedomain.eu,www.meinedomain.eu,nochnrechner.meinedomain.eu" --rsa-key-size 4096 --email meine-email@meinedomain.eu -a webroot --webroot-path /webroot

Et voila :)

Sogar die fritzbox ist mit dem importierten Zertifikat glücklich.
 
Zuletzt bearbeitet:

Olli991

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Hallo Olli991,
besten Dank für den Tipp.
Leider bin ich noch nicht weiter. Dachte zunächst root-shell würde reichen. Dann habe ich deinen Weg über nautilus versucht, komplett mit neuem Ubuntu in Hyper-VM auf meinem Windows-Rechner, weil ich auf meinem eingentlichen Server keine zusätzlichen Pakete wollte. Leider genauso erfolglos. Auch mit aktiviertem root-passwd (auf der VM habe ich mich das mal getraut :rolleyes:) und root-login war nichts von /archive zu sehen....

Hmm klingt komisch. Du bist nicht fälschlicherweise unter usr/etc/.. oder?
Hast du mal per Konsole versucht dich an den Ort etc/letsencrypt/archive zu navigieren? Zur not lässt sich per chmod usw. ja auch direkt auf Terminalebene das alles realisieren.

---------------------------------
Kleines Update:
Ich habe nun einige Subdomains noch bei Let's Encrypt whitelisten lassen. Ich habe es nun tatsächlich umgesetzt bekommen per Synology vHost die Subdomains ds.domain.de, mail.domain.de, photo.domain.de, shop.domain.de, blog.domain.de, plex.domain.de, project.domain.de inklusive domain.de und www.domain.de in einem einzigen Zertifikat abzufrühstücken. Leider unterstützt Let's Encrypt ja keine Wildcard-Zertifikate.
Es ist natürlich schon sehr sehr fummelig das komplett im Manual-Mode zu machen aber es klappt. Anschließend HSTS wieder rein alles ist Https ;-)

@bastians: verstehe ich es richtig, dass wenn ich den /web-Ordner mounten würde, ich diesen Manual-Mode dann halbautomatisieren könnte, da ich alles komplett in einen Befhelschreiben kann... auch wenn die Sub photo.domain.de beispielsweise auf web/photo-vhost verzweigt, also nicht 1:1 den namen der Subdomain hat?! Muss ich dazu auf dem Ubuntu selber einen Apache laufen lassen? Und wo speichert er dann das erstellte Zertifikat hin?
 

KingYellow

Benutzer
Mitglied seit
24. Nov 2015
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Hmm klingt komisch. Du bist nicht fälschlicherweise unter usr/etc/.. oder?
Hast du mal per Konsole versucht dich an den Ort etc/letsencrypt/archive zu navigieren? Zur not lässt sich per chmod usw. ja auch direkt auf Terminalebene das alles realisieren.

Nein, ich bin schon richtig... alle Besitz- und Zugriffsrechte habe ich inzwischen auch in allen Variationen über Terminal durch, ändert sich aber nichts.
Wenn Dir noch etwas einfällt, immer her damit. Ansonsten bastel ich gerade an der Variante von bastians. Dazu auch gleich eine Frage:
@bastians: Wie hast die Berechtigungen für den /web-Ordner auf der Syno eingestellt? Irgendein root-squash oder so? Werde beim mounten unter Ubuntu nach root-Passwort für die Syno gefragt, nach korrekter Eingabe erhalte ich aber Fehlermeldung "keine Zugriffsrechte".
 

bastians

Benutzer
Mitglied seit
29. Jun 2011
Beiträge
65
Punkte für Reaktionen
0
Punkte
6
Moin Olli991

wenn Du in den subdomain directories symbolic links auf das .well-known directory im top level web directory anlegst (da wo das webroot für den letsencrpyt client hinzeigt) könnte es gehen.
Es hängt davon ab, ob der Apache das verfolgen von symbolic links nach außerhalb seiner webrott zulässt.
Du brauchst auf dem Ubunte keinen Apcahe und die Zertifikate landen auf dem Ubuntu unter /etc/letsencrypt, so wie bei manual auch.

ciao
Bastian
 

bastians

Benutzer
Mitglied seit
29. Jun 2011
Beiträge
65
Punkte für Reaktionen
0
Punkte
6
@KingYellow:

Bei mir darf der Admin auf dem web share schreiben. Ich habe aber per cifs gemounted, nicht per nfs!
Du kannst beim cifs mount auch per "-o username=USERNAME" einen anderen user als root auswählen.

ciao
Bastian
 

KingYellow

Benutzer
Mitglied seit
24. Nov 2015
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Kurze Rückmeldung und noch einmal Danke für die Hinweise an bastians und Olii991:
Es hat nun doch nach Ollis Anleitung reibungslos funktioniert. Der Fehler war meinerseits und denkbar dämlich, deshalb hier für "Nachahmungstäter": Auf meiner Syno war https erzwingen aktiviert mit einem älteren Zertifikat von startssl.com. Nach Abwahl der https-option kam dann auch unter ubuntu die Erfolgsmeldung mit dem Verweis auf den entsprechenden Ordner, der dann endlich auch angelegt war und die Schlüssel enthielt. :eek:
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
....
Dann habe ich auf dem Debian die Webroot meiner Synology (192.168.17.2) gemounted:

mkdir /webrooot
mount -t cifs //192.168.17.2/web /webroot

...

Danke bastians, das ist wirklich viel einfacher und geht um einiges schneller! :)
 

Scylor

Benutzer
Mitglied seit
04. Apr 2012
Beiträge
407
Punkte für Reaktionen
0
Punkte
16
Ich kriegs nicht hin. Bin ebenfalls der Anleitung gefolgt aber nach dem speichern der Ip kommt immer nur:

Failed authorization procedure. meinname.dscloud.me (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://meinname.dscloud.me/.well-known/acme-challenge/K1wKk0SaML0GSUqj3hEUN4q7TiSxEE-J3nWmiV2BRAc [hierstehtneip]: 404

IMPORTANT NOTES:
- The following 'urn:acme:error:unauthorized' errors were reported by
the server:

Domains: meinname.dscloud.me
Error: The client lacks sufficient authorization
 
Zuletzt bearbeitet:

Olli991

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Hallo Scylor,

seit gestern läuft die open public beta. Möglicherweise muss man jetzt das agree-dev-preview aus dem Argument raus nehmen. Ist aber nur eine Idee, dass es vielleicht daran liegt.
 

Scylor

Benutzer
Mitglied seit
04. Apr 2012
Beiträge
407
Punkte für Reaktionen
0
Punkte
16
Hallo Scylor,

seit gestern läuft die open public beta. Möglicherweise muss man jetzt das agree-dev-preview aus dem Argument raus nehmen. Ist aber nur eine Idee, dass es vielleicht daran liegt.

Hab ich schon getan, daran liegts nicht :D

edit: Den Kram den der Server unter http://meinname.dscloud.me/.well-known/acme-challenge/xAbpTcm2Lbw6vfzS90834rnu09dn1HkPFTLk8E4ISyW

anzeigen soll existiert bei mir nicht. Bei mir steht da nur: Sorry the page you are looking for is not found.

edit2: Ich habs hingekriegt, ich hatte die Datei nicht in den Ordner geschoben, jetzt geht alles, danke.
 
Zuletzt bearbeitet:

magick

Benutzer
Mitglied seit
12. Aug 2009
Beiträge
417
Punkte für Reaktionen
0
Punkte
16
Auch von mir Dank. In 10 Minuten zum eigenen Zertifikat. Das war einfacher als gedacht. Jetzt müsste nur noch das renewal automatisch gehen :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat