Lets encrypt von eigener manuellen Bearbeitung auf Ispconfig verwaltet umstellen

Wh1sper

Member
Hallo Forum.
Mein Server, ein rootserver bei Hetzner, Debian 10.12;ISPConfig 3.2.8p1; Apache/2.4.38

Es sind ein ca. Dutzend Domains vorhanden, ca. 2 Drittel sind mit lets enrypt versorgt und funktionieren.
Ist natürlich immer eine Fummelei, vor allem wenn man das nicht häufig macht, eine Domain umzustellen auf SSL.
Außerdem muss man daran denken, dass man nicht mit ISPConfig dazwischen funkt.

Deshalb frage ich hier, ob die Möglichkeit besteht, mit vertretbarem Aufwand die letsencrypt auf ISPConfig verwaltet umzustellen.
Weil die Postfix/Dovecot Config sehr gut funktioniert und um einiges ergänzt worden ist, habe ich bisher bei ISPConfig updates nie die Option Reconfig Services benutzt.
Sollte ich das mal probieren und certbot in der Cron ausschalten?
Wäre dann ein aktivieren in ISPConfig an einer bereits mit manuell erzeugten letsencrypt sslZert eine Möglichkeit?

Alternative:
Es würde auch ein Server Upgrade möglich sein, auf Bullseye. Dort dann evtl. mit dem Migrationstool oder zu Fuß eine saubere ICPConfig Installation durchführen. Wahrscheinlich die schmerzfreiste Variante?

Kann man mit dem Migrationstool auch bestimmte Kundenleichen gleich ignorieren?
 

Benedict

Member
Mein Server, ein rootserver bei Hetzner, Debian 10.12;ISPConfig 3.2.8p1; Apache/2.4.38
Ich würde immer zur Hetzner Cloud raten, ohne weiteres Hintergrundwissen jetzt zu haben, warum du den rootserver wählst. Dies meine ich im Hinblick auf Deine Anfrage bzgl. Migration Tool.

Es sind ein ca. Dutzend Domains vorhanden, ca. 2 Drittel sind mit lets enrypt versorgt und funktionieren.
Ist natürlich immer eine Fummelei, vor allem wenn man das nicht häufig macht, eine Domain umzustellen auf SSL.
Außerdem muss man daran denken, dass man nicht mit ISPConfig dazwischen funkt.
Es ist ja egal wieviele Domains, Websites SSL benötigen mit ISPConfig. Man sollte blos ISPConfig alles von Anfang an erledigen lassen, sonst geht das nicht. Du musst sonst alle Zertifikate erst löschen (manuell) und dann mit ISPConfig neu erstellen. Also wenn es nur wenige sind, dann kannst du das "vertretbar" umstellen.

Weil die Postfix/Dovecot Config sehr gut funktioniert und um einiges ergänzt worden ist, habe ich bisher bei ISPConfig updates nie die Option Reconfig Services benutzt.
Sollte ich das mal probieren und certbot in der Cron ausschalten?
Wäre dann ein aktivieren in ISPConfig an einer bereits mit manuell erzeugten letsencrypt sslZert eine Möglichkeit?

Wenn du die Konfiguration individuell anpassen musst hier mal ein passender Link: https://www.howtoforge.com/communit...-for-custom-postfix-and-dovecot-config.86559/
Dann immer eigentlich die Updates machen.

Es würde auch ein Server Upgrade möglich sein, auf Bullseye. Dort dann evtl. mit dem Migrationstool oder zu Fuß eine saubere ICPConfig Installation durchführen. Wahrscheinlich die schmerzfreiste Variante?

Kann man mit dem Migrationstool auch bestimmte Kundenleichen gleich ignorieren?

Ja das hört sich gut an :) Und es ist ja klar, dass du für den Wechsel einen zweiten Server anmieten musst, sonst geht das ja nicht mit dem migtool. Soweit ich weiß kann man mit dem migtool einzelne Kunden umziehen, ja. Aber du kannst die Frage auch direkt an den Support stellen
 

Till

Administrator
Du musst sonst alle Zertifikate erst löschen (manuell) und dann mit ISPConfig neu erstellen. Also wenn es nur wenige sind, dann kannst du das "vertretbar" umstellen.

Und außerdem kann es sein dass certbot Kopien der vhosts angelegt hat im sites-enabled Ordner, diese verhindern dass ISPConfig die seite managen kann, diese müssen unbedingt auch gelöscht werden.

Soweit ich weiß kann man mit dem migtool einzelne Kunden umziehen, ja. Aber du kannst die Frage auch direkt an den Support stellen

Genau, man kann Kunden einzeln umziehen. Ein ignore gibt es aber nicht, Du kannst also sagen migriere nur Kunde A oder B oder C und somit Kunden nacheinander Stück für Stück umziehen, aber Du kannst nicht sagen migriere alle außer a b und c. Unter Umständen kann es daher sinnvoller sein sie vorher auf dem alten system zu löschen, oder halt nachher auf dem neuen wenn man alles umgezogen hat.
 

Till

Administrator
Ja, so ist es.
Dann werde ich mal in Ruhe überlegen, wie wir es machen.
Das saubere Neu aufsetzen und das Tool nutzen ist womöglich der bessere weg.

An sich kannst Du es einfach mal für eine website ausprobieren.

1) Den von le erzeugten vhost löschen, oder erstmal nach /tmp kopieren, apache neu starten.
2) In ISPConfig den haken bei let#s encrypt für die website setzen und warten bis ISPConfig die config neu geschrieben hat.

Aktuelle ISPConfig Versionen sollten an sich das existierende LE cert finden und einbinden können, also zusehen dass dein ISPConfig aktuell ist. Und falls der Haken bei let's encrypt wieder verschwindet, dann folge dem FAQ um rauszufidnen warum: https://forum.howtoforge.de/threads/lets-encrypt-fehler-faq-checkliste.12976/
 

Werbung

Top