# Let's Encrypt



## hahni (17. März 2016)

Hallo zusammen,
ich meine, im englischen Forum gelesen zu haben, dass Let's Encrypt in der ISPConfig 3.1 komplett integriert ist. Bedeutet das, dass man dann im Backend mühelos pro Webseite ein Zertifikat generieren kann und die Webseite dann komplett via SSL läuft?
Viele Grüße
Hahni


----------



## mzips (17. März 2016)

Genau das bedeutet es ;-).
Vorausgesetzt du hast Let's Encrypt Installiert.


----------



## hahni (17. März 2016)

Spricht etwas gegen den Einsatz von 3.1, außer dass es Beta ist? Und gibt es ein Tutorial, was zu tun ist, um ISPConfig 3 fit zu bekommen für LE?


----------



## mzips (17. März 2016)

Aus meiner Sicht Spricht nichts dagegen mit nen Paar kleine fehlern musst du Leben die so weit ich das gesehen habe nur Optik ist Funktionell läuft alles bei mir muss eh mein hut vor den Dev's hier ziehen. Guck mal hier: https://www.howtoforge.de/forum/threads/ispconfig-3-1.9720/page-2#post-48603


----------



## hahni (17. März 2016)

Aus der Anleitung werde ich aber auch nicht so richtig schlau. Wenn ISPC da etwas mitliefert (bisher setzte ich kein LE ein), müsste man das ohnehin nachinstallieren, wenn man 3.1 einsetzt. Oder kann Till da etwas dazu sagen, was nachträglich installiert werden muss, um 3.1-kompatibel zu sein? Zudem ist ja die Alpha schon draußen. Wie lange wird es noch dauern, bis die offizielle Version erscheint?


----------



## mzips (17. März 2016)

Entweder Installierst du Ispcofig 3 nach dem Tut https://www.howtoforge.com/tutorial/perfect-server-debian-8-jessie-apache-bind-dovecot-ispconfig-3/

Und bei dem Schritt wo Ispconfig 3 Installiert werden muss benutzt du es so :

```
cd /tmp
wget -O ispconfig3-dev.tar.gz "https://git.ispconfig.org/ispconfig/ispconfig3/repository/archive.tar.gz?ref=stable-3.1"
tar xzf ispconfig3-dev.tar.gz
cd ispconfig3-stable*/install
php install.php
```
oder du Installierst es mit hilfe von: https://github.com/servisys/ispconfig_setup
Und danach das Update so:

```
cd /tmp
wget -O ispconfig3-dev.tar.gz "https://git.ispconfig.org/ispconfig/ispconfig3/repository/archive.tar.gz?ref=stable-3.1"
tar xzf ispconfig3-dev.tar.gz
cd ispconfig3-stable*/install
php update.php
```
Und LE Installierst du so: http://letsencrypt.readthedocs.org/en/latest/intro.html

Release gibt da keine Timeline wenn Fertig dann Fertig


----------



## hahni (21. März 2016)

Wenn dann will ich mich eher für den Weg entscheiden, denn ISPConfig vorsieht. Mal sehen, ob ich mit deinen Anleitungen klar komme !

Vor allem: ich muss die Funktion nachrüsten, da ich ja schon mit ISPC3 arbeite (Ubuntu)...


----------



## TDS (23. Mai 2016)

Hat jemand einen Link oder eine Anleitung dafür?
Wenn ich SSL und Let's Encrypt SSL auswähle und dann SSL-Daten mit Zertifikat erstellen klicke, wird nur ein normales selbst-signiertes SSL erzeugt. Danach ist der Haken bei Let's Encrypt SSL wieder raus. Das SSL-Zertifikat wird aber übermittel, ist aber durch Selbst-Signierung nicht vertrauenswürdig.

Nutze git-master als Referenz.

//edit:
*1.) Domain darf nicht WildCard (*.) sein
2.) DNS-Eintrag mit www muss vorhanden sein (z.B. example.com und www.example.com)
3.) In den SSL-Feldern darf nichts stehen, außer in den "Kontaktdaten" oberhalb davon
4.) Let's Encrypt SSL => Haken rein, speichern
5.) etwas warten bis der CronJob durch ist und Zertifikat steht zur Verfügung*


----------



## Till (23. Mai 2016)

Zitat von TDS:


> 1.) Domain darf nicht WildCard (*.) sein


Richtig, denn lets encrypt erlaubt keine wildcards.



Zitat von TDS:


> 2.) DNS-Eintrag mit www muss vorhanden sein (z.B. example.com und www.example.com)


Es muss DNS Einträge für alle der website zugeordneten subdomains geben, denn letsencrypt prüft das.


----------



## TDS (23. Mai 2016)

Zitat von Till:


> Es muss DNS Einträge für alle der website zugeordneten subdomains geben, denn letsencrypt prüft das.


Ja, aber wenn SSL nur für config.example.com dann muss auch ein DNS (A oder CNAME) für www.config.example.com existieren.

PS: Werden diese Zertifikate auch automatisch erneuert?


----------



## Till (23. Mai 2016)

Auch wenn Du auto subdomain des webs auf none stehen hast? Standard ist ja www und daher würde bei auto subdomain www auch ein dns für www benötigt.



Zitat von TDS:


> PS: Werden diese Zertifikate auch automatisch erneuert?


ja.


----------



## ramrod (23. Mai 2016)

Hab mich strikt an das howto howtoforge.com/tutorial/perfect-server-debian-8-4-jessie-apache-bind-dovecot-ispconfig-3-1/2/  gehalten und erstmal alles schön auf einer virtuellen Instanz auf meiner workstation installiert.
Wenn ich versuche unter der Domain letsencrypt zu aktivieren, klappt das allerdings nicht.
Es kommt nur

<code>
2016-05-23 14:55:34,445:WARNING:certbot.cli:You are running with an old copy of letsencrypt-auto that does not receive updates, and is less reliable than more recent versions. We recommend upgrading to the latest certbot-auto script, or using native OS packages.


Failed authorization procedure. (http-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from /.well-known/acme-challenge/JDVRRwTVnVjLTRK4o0L2IS5ud-k_XiDScjel7ii52S4: "<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
</code>

Hab gesehen, das es für Jessie auch bereits letsencrypt Pakete gibt, kann man so den Punkt sparen?

apt-get install git
cd /opt
git clone github.com/letsencrypt/letsencrypt
cd letsencrypt/
./letsencrypt-auto --help


----------



## Till (24. Mai 2016)

Zitat von ramrod:


> Wenn ich versuche unter der Domain letsencrypt zu aktivieren, klappt das allerdings nicht.


Letsencrypt erwartte dass es die Domain der website per dns von außen erreichen kann, daher kann letsencrypt nicht auf Deiner lokalen Workstation gehen.



Zitat von ramrod:


> Hab gesehen, das es für Jessie auch bereits letsencrypt Pakete gibt, kann man so den Punkt sparen?


nein.


----------



## ramrod (24. Mai 2016)

Danke Till, die Meldung verschwindet dann auch?

2016-05-23 14:55:34,445:WARNING:certbot.cli:You are running with an old copy of letsencrypt-auto that does not receive updates, and is less reliable than more recent versions. We recommend upgrading to the latest certbot-auto script, or using native OS packages.


----------



## benutzer (24. Mai 2016)

Wird das Zertifikat automatisch nach spätestens drei Monaten verlängert bzw. ein neues ausgestellt?


----------



## Till (25. Mai 2016)

Zitat von benutzer:


> Wird das Zertifikat automatisch nach spätestens drei Monaten verlängert bzw. ein neues ausgestellt?


ja


----------



## mzips (26. Mai 2016)

Wird LE jetzt nicht anders Installiert?

1.)
git clone https://github.com/certbot/certbot
cd certbot
./certbot-auto --help

2.)
sudo apt-get install letsencrypt -t jessie-backports
letsencrypt certonly

3.)
sudo apt-get install python-letsencrypt-apache -t jessie-backports
letsencrypt --Apache

Welche Variante würdet ihr bei Ispconfig 3.1 nehmen ?


----------

