# Letsencrypt Fragen



## nowayback (19. Jan. 2017)

Moinsen,

ich muss zugeben, ich habe mich mit ISPConfig+Letsencrypt noch überhaupt nicht beschäftigt und hoffe, mir auch nicht alles mühsam zusammensuchen zu müssen ;-) Deswegen frage ich einfach mal vorweg.

Ich hab im Handbuch gelesen, dass ISPConfig auf Certbot setzt. Kann ich Certbot nachträglich installieren und dann nen update machen, sodass ISPConfig den verwenden kann? Wenn nicht, gibt's nen kurzen manuellen Weg?
In ISPConfig kann ich für jede angelegte Website dann den Haken für nen LE Zertifikat setzen. Wie verhält sich das mit dem ISPConfig Interface? Bei mir ist das über eine Domain erreichbar, die nicht in ISPConfig angelegt ist. Für diese Domain hatte ich bisher immer Wildcard Zertifikate im Einsatz, da auch für den Mailserver auf das Zertifikat zugegriffen wurde und der eine andere Subdomain hat.
Wie verhält sich das mit Zertifikaten für Postfix und Dovecot? Ich habe dort eine weitere subdomain pro Mailserver die bisher immer über die Wildcard Zertifikate abgedeckt wurden. Kann Certbot die auch erzeugen und automatisch erneuern?
Wenn ich noch halbwegs im Bilde bin, sollten Wildcard Zertifikate bei LE ja irgendwann mal kommen. Bis dahin muss ich halt etliche Zertifikate pro Domain anfordern. Hierbei gibts es ja Limits von 20 pro Domain pro Woche, wenn ich es noch richtig weiß. Beachtet Certbot die Limits? Wie verhält sich ISPConfig wenn Limits überschritten werden?
Wie führt LE die Validierung für die Domain durch?
Hat Certbot irgendwelche bekannten Probleme mit mehreren IP's auf dem Server, die je einer speziellen Domain oder mehreren Domains zugeordnet sein können?
Gerade beim Aufruf von Certbot noch den Hinweis bekommen, das Certbot Apache nicht finden kann. Der Indianer hat bei mir auch ausgedient. Wie siehts aus in Verbindung mit Nginx? 

Nice2know: kennt jemand eine gute brauchbare Lösung auch für Windows bei der man wenig Aufwand hat? Geplant wäre hier z.B. die Verwendung in Exchange zu testen, SSTP u.ä.

Danke für die Infos
Grüße
nwb


----------



## nowayback (21. Jan. 2017)

Zitat von nowayback:


> Moinsen,
> 
> ich muss zugeben, ich habe mich mit ISPConfig+Letsencrypt noch überhaupt nicht beschäftigt und hoffe, mir auch nicht alles mühsam zusammensuchen zu müssen ;-) Deswegen frage ich einfach mal vorweg.


hätte ich mir wohl sparen können...



Zitat von nowayback:


> Ich hab im Handbuch gelesen, dass ISPConfig auf Certbot setzt. Kann ich Certbot nachträglich installieren und dann nen update machen, sodass ISPConfig den verwenden kann? Wenn nicht, gibt's nen kurzen manuellen Weg?


Ja, kann ich... getestet und läuft.



Zitat von nowayback:


> In ISPConfig kann ich für jede angelegte Website dann den Haken für nen LE Zertifikat setzen. Wie verhält sich das mit dem ISPConfig Interface? Bei mir ist das über eine Domain erreichbar, die nicht in ISPConfig angelegt ist.


Hier bin ich mir noch nicht sicher, wie ich das am günstigsten umsetzen werde. Evtl. werde ich die Domain anlegen und dann einfach mittels Proxy umbiegen oder die Direktiven aus dem ispconfig.vhost einfügen. mal sehen...



Zitat von nowayback:


> Für diese Domain hatte ich bisher immer Wildcard Zertifikate im Einsatz, da auch für den Mailserver auf das Zertifikat zugegriffen wurde und der eine andere Subdomain hat.
> Wie verhält sich das mit Zertifikaten für Postfix und Dovecot? Ich habe dort eine weitere subdomain pro Mailserver die bisher immer über die Wildcard Zertifikate abgedeckt wurden. Kann Certbot die auch erzeugen und automatisch erneuern?


Domains in ISPConfig angelegt, mit Weiterleitung auf die "Interface"-Domain und LE lässt sich installieren...



Zitat von nowayback:


> Wenn ich noch halbwegs im Bilde bin, sollten Wildcard Zertifikate bei LE ja irgendwann mal kommen. Bis dahin muss ich halt etliche Zertifikate pro Domain anfordern. Hierbei gibts es ja Limits von 20 pro Domain pro Woche, wenn ich es noch richtig weiß. Beachtet Certbot die Limits? Wie verhält sich ISPConfig wenn Limits überschritten werden?


Hierzu habe ich noch keine Ahnung. Soweit bin ich mit meinen Tests noch nicht.



Zitat von nowayback:


> Wie führt LE die Validierung für die Domain durch?


Mittels Datei auf dem Webserver oder startet einen eigenen Webserver zur Validierung. Muss über Port 80 bzw. 443 verfügbar sein.



Zitat von nowayback:


> Hat Certbot irgendwelche bekannten Probleme mit mehreren IP's auf dem Server, die je einer speziellen Domain oder mehreren Domains zugeordnet sein können?


Nein.



Zitat von nowayback:


> Gerade beim Aufruf von Certbot noch den Hinweis bekommen, das Certbot Apache nicht finden kann. Der Indianer hat bei mir auch ausgedient. Wie siehts aus in Verbindung mit Nginx?


Kein Problem. Certbot hat auch nen Nginx Plugin. Das spielt aber auch keine wirkliche Rolle.



Zitat von nowayback:


> Nice2know: kennt jemand eine gute brauchbare Lösung auch für Windows bei der man wenig Aufwand hat? Geplant wäre hier z.B. die Verwendung in Exchange zu testen, SSTP u.ä.


Ja gibt es. Findet man auf der LE Website.



Zitat von nowayback:


> Danke für die Infos
> Grüße
> nwb


Bitte. Gern geschehen. Frag doch in Zukunft lieber gar nicht erst :-/


----------



## Till (22. Jan. 2017)

Zitat von nowayback:


> Hier bin ich mir noch nicht sicher, wie ich das am günstigsten umsetzen werde. Evtl. werde ich die Domain anlegen und dann einfach mittels Proxy umbiegen oder die Direktiven aus dem ispconfig.vhost einfügen. mal sehen...


Dazu gibt es ein paar threads im EN Forum. Aber generell kannst Du das Zertifikat auch einfach manuell über certbot erzeugen da ispconfig alle ssl certs im renew aufruft, auch wenn sie nicht von ispconfig stammen.



Zitat von nowayback:


> Kein Problem. Certbot hat auch nen Nginx Plugin. Das spielt aber auch keine wirkliche Rolle.


Es wird weder ein apache noch ngnx plugin benötigt, da certbot ja die config des webservers nicht selbst ändern soll und muss.


----------



## nowayback (22. Jan. 2017)

Zitat von Till:


> Aber generell kannst Du das Zertifikat auch einfach manuell über certbot erzeugen da ispconfig alle ssl certs im renew aufruft, auch wenn sie nicht von ispconfig stammen.


Perfekt. Dann wäre das auch noch eine Option... Muss ich dann nur im Fall eines Umzuges dran denken, die Zertifikate wieder initial zu erzeugen. Danke



Zitat von Till:


> Es wird weder ein apache noch ngnx plugin benötigt, da certbot ja die config des webservers nicht selbst ändern soll und muss.


Das meinte ich mit "Das spielt aber auch keine wirkliche Rolle"


----------

