let’s encrypt
ZeroSSL
Es tut sich noch eine Alternative zu Let’s Encrypt auf. Man benötigt einen Account. zerossl.com
Ohne Kosten können drei verschiedene Zertifikate erstellt werden, gültig für jeweils 90 Tage.
Ein eventuell vorhandener CAA RR im DNS muss erweitert werden um ’sectigo.com‘.
Um einen vorhandenen Let’s Encrypt Certbot weiterverwenden zu können, müssen Keys erzeugt werden unter „EAB Credentials for ACME Clients“.
certbot certonly --webroot -w /var/www/html/ -d www.xn--hllrigl-90a.at,xn--hllrigl-90a.at --agree-tos --server 'https://acme.zerossl.com/v2/DV90' --eab-kid '<EAB-KID>' --eab-hmac-key '<EAB-HMAK-KAY>'
EAB … External Account Binding; ZeroSSL sieht eher vor eine REST API zu verwenden. Aber um einfacher wieder auf Let’s Encrypt umstellen zu können, würde ich eher Mal bei ACME bleiben.
certbot verbuggt
# /usr/bin/certbot renew --force-renewal Saving debug log to /var/log/letsencrypt/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Processing /etc/letsencrypt/renewal/domain.tld.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Plugins selected: Authenticator webroot, Installer None Renewing an existing certificate Performing the following challenges: http-01 challenge for www.domain.tld http-01 challenge for domain.tld Cleaning up challenges Attempting to renew cert (domain.tld) from /etc/letsencrypt/renewal/domain.tld.conf produced an unexpected error: Missing command line flag or config entry for this setting: Input the webroot for www.domain.tld:. Skipping. All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/domain.tld/fullchain.pem (failure) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/domain.tld/fullchain.pem (failure) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 renew failure(s), 0 parse failure(s)
Ein Bug in Certbot 0.31… vielleicht nur in Ubuntu… die Option fürs Webroot „vergessen“.
/etc/letsencrypt/renewal/domain.tld.conf
# Options used in the renewal process [renewalparams] account = XXX authenticator = webroot webroot_path = /var/www/html, # Der Teil hat gefehlt. Nach dem Renewal wurde der Beistrich von certbot angefügt server = https://api.buypass.com/acme/directory [[webroot_map]] # Der Abschnitt wurde vom Certbot anschließend automatisch erstellt www.domain.tld = /var/www/html domain.tld = /var/www/html
# /usr/bin/certbot renew --force-renewal Saving debug log to /var/log/letsencrypt/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Processing /etc/letsencrypt/renewal/domain.tld.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Plugins selected: Authenticator webroot, Installer None Renewing an existing certificate Performing the following challenges: http-01 challenge for www.domain.tld http-01 challenge for domain.tld Using the webroot path /var/www/html for all unmatched domains. Waiting for verification... Cleaning up challenges - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - new certificate deployed without reload, fullchain is /etc/letsencrypt/live/domain.tld/fullchain.pem - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Congratulations, all renewals succeeded. The following certs have been renewed: /etc/letsencrypt/live/domain.tld/fullchain.pem (success) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ASN.1
Bei Let’s Encrypt wird erklärt wie ASN.1 aufgebaut ist
A Warm Welcome to ASN.1 and DER
Glitch: Let’s Encrypt
Revoked auch mein Zertifikat
Revoked doch nicht Nur nicht verwendete Zertifikate werden Revoked?
Gut dass ich Buypass ausprobiert habe
Let’s Encrypt Alternative Buypass
Es gibt eine Alternative zu Let’s Encrypt (LE): Buypass
Nichts gegen LE, aber eine Backup CA zu haben kann nicht verkehrt sein.
Einen vorhandenen Certbot von LE kann man recht einfach umstellen, erklärt unter Certbot basic usage
Recht schnell zeigt sich, dass hier keinen Umleitungen gefolgt wird und man HTTP auf Port 80 offen braucht.
Fehlermeldung im Certbot Log:
{"type":"compound","detail":"Errors during validation","subproblems":[{"type":"urn:ietf:params:acme:error:connection","detail":"The server could not connect to validation target","code":0}
Problembeschreibung im Buypass Forum
Auch LE empfiehlt Port 80 offen zu haben
Let’s encrypt
Good news everyone! Plesk kann seit kurzem auch mit Umlaut-Domains. Daher habe ich das gleich ein neues Zertifikat installiert. Mal sehen, ob sich Plesk jetzt auch ordentlich um die Verlängerung kümmert.