acme.sh SSL für ISPconfig Interface

[RockinMC]

Hallo zusammen,

ISPConfig ist für mich noch recht neu.

Gestern habe ich einen Server komplett neu installiert und wollte auch ISPconfig mit einem validen SSL-Let's Encrypt ausstatten.
Die Anleitungen sind bisher alle von dem "alten" letsencrypt Client aus gegangen und nicht von acme.sh.

Bisher habe ich für den Host eine neue Website angelegt und hierfür auch ein valides Zertifikat ausstellen lassen.
Jetzt würde ich gerne via Symlink das richtige Zertifikat auswählen für das ISPconfig Interface.

Leider bin ich etwas verwirrt.
Sind die Zertifikatsdateien in /var/www/clients/client0/web1/ssl oder in /root/.acme.sh/...?

Sobald ich dies entsprechend weiß, würde ich hierfür gerne eine Anleitung verfassen, sodass Andere nicht die selbe Frage stellen müssten.

Herzlichen Dank für die Erhellung.

 

[Till]

Die Anleitungen sind bisher alle von dem "alten" letsencrypt Client aus gegangen und nicht von acme.sh.

ISP?Config unterstützt sowohl acme.sh als auch certbot.

Leider bin ich etwas verwirrt.
Sind die Zertifikatsdateien in /var/www/clients/client0/web1/ssl oder in /root/.acme.sh/...?

Das hängt davon ab, welchen der Beiden LE Clients Du installiert hast.

Jetzt würde ich gerne via Symlink das richtige Zertifikat auswählen für das ISPconfig Interface.

ISPConfig erstellt das cert selbst und verlinkt es auch selbst, musst Du also nichts manuell machen. wenn das LE cert während der Installation noch nicht erstellt werden konnte, einfach Update nochmal aufrufen und auswählen dass ein neues LE cert erstellt werden soll.

 

[RockinMC]

Dankeschön. Letzter Hinweis war die Lösung.

Derzeit ist der acme.sh Client installiert. An beiden stellen liegt allerdings ein Zertifikat.

 

[knetheiner]

Hi zusammen,

möchte bei genau diesem Thema auch nochmal einsteigen.
SSL Zertifikat für die Webseite funktioniert. Das Zertifikat liegt unter /root/.acme.sh/
zertifikat gilt für domain-name.de und mail.domain-name.de

ISPConfig erstellt das cert selbst und verlinkt es auch selbst, musst Du also nichts manuell machen. wenn das LE cert während der Installation noch nicht erstellt werden konnte, einfach Update nochmal aufrufen und auswählen dass ein neues LE cert erstellt werden soll.

Du meinst ispconfig_update.sh --force ?
Beim Mailclient sowie auf der 8080 kommt kein gültiges Zertifikat, wahrscheinlich auch bei sftp, habe ich nicht versucht.
Was genau muss ich tun, damit die Zertifikate automatisch verlinkt werden?

Danke schonmal vorab.

 

[RockinMC]

Hi Knetheiner,
Du musst nach der Installation ggf. nochmals ispconfig_install.sh ausführen. Hiermit kannst du dann das Zertifikat entsprechend erstellen.
So war es zumindest bei mir.

 

[knetheiner]

ispconfig_install.sh habe ich garnicht zur Auwahl, ist das eine unattended installation per script?
Das Zertifikat, dass für die Webseite erstellt wird, ist nicht das gleiche wie für den eigentlichen Server, richtig?
Vielleicht meint Till auch das acme.sh script? Das kann man wohl auch mit einem --install parameter aufrufen.

 

[RockinMC]

Hi,
bitte entschuldige, es ist ispconfig_update.sh. Das ist global auf dem System verfügbar und nicht (zwangsläufig) im acme.sh Ordner aus zu führen.

Ja, deine Annahme ist korrekt. Du brauchst aber keinen Host mit $Servername anlegen, sondern mit dem Script geht das für den Server.

 

[knetheiner]

Ok schonmal danke vorab für die Infos.
Konkret erstelle ich bei der Installation 1 bzw 2 selbstsignierte Zertifikate.
Nach der Erstellung der Webseite kann man ja Let's Encrypt anhaken.
Habe zusätzlich noch eine subdomain eben mit mail.domain.de.
Wenn ich das ispconfig_update.sh nocheinmal starte, dann fragt er ja ob ich das ssl zertifikat erneuern will.
Falls ich dort ja wähle, dann geht es ja nicht um das Zertifikat der Webseite, sondern um das Zertifikat des Servers. Soweit so richtig, oder da schon ein Denkfehler?
Was muss ich bei der Erneuerung des Zertifikats angeben, dass Lets encrypt genutzt wird? Oder habe ich da bei der Installation schon einen Fehler gemacht?

 

[RockinMC]

Hi,
ja, bei der Installation werden die selbstsignierten Zertifikate erstellt.

Dein Server hat sehr wahrscheinlich einen Servernamen server.tld. Auf dieser Adresse lautet später auch dein Mailserver. Dafür wird dann auch das Zertifikat ausgestellt.
Für die Nutzung von mail.domain.tld bin ich etwas überfragt.

 

[knetheiner]

Der Vollständigkeit halber, es hat funktioniert. Ich hatte für den Server selbst keine "Webseite" erstellt.
Danke nochmal.

 

[Roland_NR]

Ich habe jetzt auch mal einen Server neu aufgesetzt mit Debian 10. Standardmässig ist da ja acme.sh als Client für LE.

Jetzt möchte ich auch neben server.example.com noch mail.domain1.tld und mail.domain2.tld verwenden, damit ich den Mailserver über den DNS steuern kann. Ist ja auch hilfreich, wenn man den Server mal umziehen möchte.

Ich habe daher gemäß der dieser Anleitung Securing ISPConfig 3.1 With a Free Let's Encrypt SSL Certificate
eine Webseite mit dem Namen server.example.com angelegt und für jede andere Domain eine Aliasdomain. Das wurde dann hübsch mit dem LE Zertifikat ausgerüstet.

Dann habe ich das Skript aus der vorgenannten Anleitung angepasst:

cd /usr/local/ispconfig/interface/ssl/
mv ispserver.crt ispserver.crt-$(date +"%y%m%d%H%M%S").bak
mv ispserver.key ispserver.key-$(date +"%y%m%d%H%M%S").bak
mv ispserver.pem ispserver.pem-$(date +"%y%m%d%H%M%S").bak
ln -s /var/www/$(hostname -f)/ssl/$(hostname -f)-le.crt ispserver.crt
ln -s /var/www/$(hostname -f)/ssl/$(hostname -f)-le.key ispserver.key
cat ispserver.{key,crt} > ispserver.pem
chmod 600 ispserver.pem

Dann habe ich noch das Skript für Postfix/Dovecot angewendet:

cd /etc/postfix/
mv smtpd.cert smtpd.cert-$(date +"%y%m%d%H%M%S").bak
mv smtpd.key smtpd.key-$(date +"%y%m%d%H%M%S").bak
ln -s /usr/local/ispconfig/interface/ssl/ispserver.crt smtpd.cert
ln -s /usr/local/ispconfig/interface/ssl/ispserver.key smtpd.key
service postfix restart
service dovecot restart

Pinzipiell könnte man das Zertifikat aus /var/www direkt mit postfix verlinken.

Zwei Fragen bleiben:

1. Was macht ISPConfig damit? Überschreibt es die Einstellung unter

/usr/local/ispconfig/interface/ssl/

wieder? Wenn nicht ist ja alles ok.

2. Gleiche Frage wie zuvor für die Einstellungen unter /etc/postfix

Es klappt wunderbar, Outlook und Thunderbird zeigen sich zufrieden. Im Prinzip müsste man das noch für pureFTP machen. Dann wäre es perfekt.