# Lets Encrypt Fragen



## shadowcast (29. Dez. 2016)

Hallo,

bitte verzeiht, sollten diese Fragen schon vorgekommen sein.
In wenigen Tagen laufen meine StartSSL Zertifikate ab, da liegt es nun nahe, alles auf Lets Encrypt umzustellen, was bisher auch ziemlich gut funktioniert.

Leider wohl nach wie vor aber keine Möglichkeit von Umlautdomains?

Meine ISPConfig Installation entspricht der aktuellen Version, gefolgt von den Perfect Server Dokus von Wheezy/Jessie.
Let´s Encrypt habe ich wie hier eingerichtet, also mit:

```
mkdir /opt/certbot
cd /opt/certbot
wget https://dl.eff.org/certbot-auto
chmod a+x ./certbot-auto
./certbot-auto
```
Bei allen Server brachte mir das Tool am Ende, ob ich die Adresse des ISPConfig Panels per Let´s Encrypt verschlüsseln will. Ich wählte bisher überall Nein. Das Panel läuft aktuell NOCH über ein Wildcard Zertifikat von StartSSL. Inzwischen habe ich viele Webs mit Lets Encrypt Problemlos laufen, das Panel noch nicht.

Frage 1. Kann ich erneut den certbot-auto aufrufen und erhalte ich dann nochmal die Meldung, welche ich dann mit JA bestätige?
Oder sollte ich das meiden, da schließlich das Script auch einige Installationen und Konfigurationen durchführt?
Hab ich alternativen?

Mein Serversetup was die Domains angeht:
- www.example.com & example.com -> leiten auf meine Homepage und sind als Web im ISPConfig angelegt, laufen bereits über Lets Encrypt
- server1.example.com -> die Hostnamen der Server, welche auch in Dovecot & Postfix eingetragen sind. Meine Leute die verschlüsselt abrufen haben diese Adresse eingetragen
- ispconfig.example.com -> ISPConfig aktuell noch über das alte Wildcard StartSSL Zertifikat
- phpmyadmin.example.com -> PHPMyAdmin aus /var/www/phpmyadmin ebenfalls noch über das Wildcard Zertifikat ohne ISPConfig Web
- roundcube.example.com -> Roundcube aus /var/www/roundcube ebenfalls noch über das Wildcard Zertifikat ohne ISPConfig Web
- weitere Subdomains für diverse Apps wie Owncloud, Piwik, usw, welche z.T. nur als Web angelegt sind.

Folgend meiner erstmal geplanten Umstellungsschritte, mit der BItte um Korrektur, sollte ich etwas zu umständlich oder gar fehlerhaft planen.
- PHPMyAdmin, Roundcube wären denke ich eine Kleinigkeit, es als Web anzulegen, hier Lets Encrypt zu markieren und einfach die Inhalte auc /var/www/phpmyadmin dann nach /var/www/phpmyadmin.example.com/web zu schieben. Hier müsste man lediglich dann evtl. noch ein paar Themen aus den empfohlenen VHosteinstellungen im Web als Admin eintragen oder? z.B. hab ich in vhost/conf Datei von PHPMyAdmin Require all denied auf den setup & libraries Ordner?
- Mit Ruby Anwendungen wie redmine.example.com hoffe ich mal keine Probleme, wenn ich die Ordner verschiebe, da bin ich einfach froh dass sie laufen?
- den Hostnamen sehe ich aktuell als etwas kritisch an? Rufe ich ihn im Browser auf, komme ich auf den Root vom Apache der mir sagt "It works" Alles gut. Jetzt könnte ich einfach hergehen, diesen als Alias auf die Hauptseite zeigen lassen, also server1.example.com -> examples.com Dadurch würde server1.example.com zwar auf die Hauptseite geleitet werden, aber das Zertifikat würde mit angelegt werden. Das wrüde ich dann in Dovecot wie Postfix eintrage? Sollte doch in der Theorie funktionieren oder???
- am Ende wäre dann nur noch ISPConfig selbst, welches evtl. mit obiger Frage bereits geklärt wäre.

Bin gespannt auf die Meinungen und Tips der Profis.


----------



## Medialekt (3. Jan. 2017)

Hallo,

ganz ähnliches hatte ich auch kürzlich und gerade frisch einen Blogeintrag daraus erstellt.

./certbot-auto kann auch öfters ausgeführt werden und fragt dann auch erneut, ob und welche Webs verschlüsselt werden sollen.

Hier der Blog:
https://webdesign-facts.de/joomla-cms/seo/58-webserver-vollstaendig-auf-lets-encrypt-umstellen

PS. Bezüglich PureFTP fand ich leider keine optimalere Lösung, als die angegebene CAT-Lösung, um den Privatekey sowie den Fullchain zusammen zu bringen. Aber dafür hab ich das Bash Script auch mit angehängt.

Wer Verbesserungen oder Anregungen hat, einfach melden.

LG


----------

