ACME.SH frage und anderes

logifech

Active Member
Hi zusammen,
ich bin dabei eine neue ISPConfig Installation aufzusetzen, habe aber mal eine Frage bzgl. Certbot ist es möglich den neueren ACME.sh Client anstat certbot zu Installieren mit der aktuellen ISPConfig stable version und Debian 10? Hintergrund ist der, dass ich auch gerne Wildcard Zertifikte sowie ECC Zertifikate nutzen möchte.

Dann eine andere Frage ist, wenn ich in einer ISPConfig installation einige Configs angepasst habe z.B. den ispconfig.vhost sowie Postfix/Dovecot configs (main.cf, master.cf etc.) sowie bind.named.conf.options wie kann ich verhinder, dass diese bei einem ISPConfig update überschrieben werden? Das ganze handelt sich um eine Multiserver Installation.
 

Till

Administrator
ist es möglich den neueren ACME.sh Client anstat certbot zu Installieren

ja, aber nicht mit der aktuellen stable version, da musst Du den stable-3.1 Branch vom GIT nehmen.

Hintergrund ist der, dass ich auch gerne Wildcard Zertifikte sowie ECC Zertifikate nutzen möchte.

Das geht mit acme.sh über ISPConfig aber auch nicht.

Dann eine andere Frage ist, wenn ich in einer ISPConfig installation einige Configs angepasst habe z.B. den ispconfig.vhost sowie Postfix/Dovecot configs (main.cf, master.cf etc.) sowie bind.named.conf.options wie kann ich verhinder, dass diese bei einem ISPConfig update überschrieben werden? Das ganze handelt sich um eine Multiserver Installation.

Die Möglichkeit gibt es seit vielen Jahren. Such mal nach conf-custom bzw. in dem Fall conf-custom/install/ im DE oder EN Forum, sollte es einige Threads zu geben.
 

logifech

Active Member
Vielen Dank für deine Antwort, wird es die Möglichkeit denn irgendwann geben wildcard certs und ECC CERTs zu erstellen?
 

Till

Administrator
Irgendwann sicher. Nur ist das nicht so einfach zu realisieren insbesondere wenn der dns nicht bei ispconfig liegt.
 

Steini86

New Member
Hallo Logifech,

acme.sh kannst du wie gesagt mit der GIT version von ispconfig zum laufen bekommen. Am besten neu installiert, der Umstieg ist etwas hakelig.
Die acme.sh implementierung finde ich auch besser, dort wird nur das Zertifikat in ispc angelegt und installiert. Alles weitere läuft dann über acme.sh (erneuern, etc.). Wenn du weißt was du tust kannst du also die Konfiguration dann einfach über acme.sh anpassen. Zum Beispiel auf ECC oder DNS/Wildcard.
Für acme.sh gibt es auch eine Schnittstelle für die ispc API, für die DNS challenge für Wildcards:
(Aber Achtung: Wird bei machen Aktionen (z.B. website resync) wieder von ispc überschrieben)
Da ispc einfach eine config über acme.sh anlegt aber ansonsten alles über acme.sh verwaltet wird ist es auch kein Problem zusätzliche Domains (z.B. wildcards) anzulegen und nebeneinander laufen zu lassen. Du kannst also die normalen Domains ganz normal per ispc machen und ein extra Wildcard Zertifikat von Hand anlegen. Das ist dann aber nicht in ispc eingebunden.

Also wenn du acme.sh schon benutzt:
Seite in ispconfig anlegen, SSL / Letsecnrypt aktivieren.
Die acme.sh config wird erstellt und wenn erfolgreich per web challenge verifiziert, für dein web installiert. Dann bei bedarf die config in acme so anpassen wie du es haben willst.
ECC Zertifikate statt RSA zu benutzen geht auch relativ einfach. (In Datei /usr/local/ispconfig/server/lib/classes/letsencrypt.inc.php Zeile 77. Im issue command "--keylength ec-384" hinzufügen und im install command "--ecc")
Das will man aber vermutlich (noch) nicht machen, sperrt viele clients aus. Die Installation nebeneinander ist etwas tricky und ist auch nicht Zukunftssicher, weil das in zukünftigen ispc Versionen überschrieben wird. Meinen Leidensweg habe ich mal hier dokumentiert:


Ich hatte übrigens Probleme mit der Anmeldung im Forum, weil rspamd das Forum für spam hält. Da könnte man vielleicht nachhelfen ;)
MX_MISSING (3.5) []
HFILTER_HOSTNAME_UNKNOWN (2.5)
AUTH_NA (1)
URI_COUNT_ODD (1) [7]
FORGED_SENDER (0.3) [info@projektfarm.de,webmaster@forum.howtoforge.de]
 

Werbung

Top