Let's Encrypt: kostenlose SSL-Zertifikate

Status
Für weitere Antworten geschlossen.

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.803
Punkte für Reaktionen
179
Punkte
129
Lieber Hafer schaue dir bitte das neue Video an, dort muss einem die Domain nicht gehören, da die Authentifizierung über eine html datei stattfindet, die dann auf dem Webserver liegen muss und nicht über eine Mail.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Let's Encrypt überprüft die Domainhoheit ja ähnlich.
 

Hafer

Benutzer
Mitglied seit
03. Okt 2014
Beiträge
855
Punkte für Reaktionen
12
Punkte
38
cool, gestern was gelernt, heute schon veraltet ;-)

Gruß Hafer
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.803
Punkte für Reaktionen
179
Punkte
129
Veraltet ist es nicht, es ist nur eine andere Art von Zertifikat, für startssl gilt es immernoch, dass einem die Domain gehören muss.
 

Joesix

Benutzer
Mitglied seit
08. Feb 2012
Beiträge
137
Punkte für Reaktionen
0
Punkte
0
So, jetzt habe auch auch die ersten Tests mit letsencrypt hinter mir. Die Idee alles automatisiert zu machen gefällt mir im Prinzip gut erfordert aber, gerade in komplexeren Umgebungen, u.U. viel Vorbereitung. Aufgrund der immer noch hohen Komplexität des Verfahrens fürchte ich, dass es nicht wirklich zum massenhaften Einsatz kommen wird. Sehr unangenehm finde ich die Tatsache dass Zertifikate nur für max. 90 Tage ausgestellt werden
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Im Moment läuft ja die Beta-Phase mit einigen Beschränkungen - die werden aber nach Produktivschaltung wegfallen.
Ich denke auch, dass die Clients nach und nach portiert werden - und ich bin ziemlich sicher, dass wir bald einen Client für das DSM haben werden ;)
 

Kidaru

Benutzer
Mitglied seit
04. Nov 2011
Beiträge
63
Punkte für Reaktionen
0
Punkte
6
Im Moment läuft ja die Beta-Phase mit einigen Beschränkungen - die werden aber nach Produktivschaltung wegfallen.
Ich denke auch, dass die Clients nach und nach portiert werden - und ich bin ziemlich sicher, dass wir bald einen Client für das DSM haben werden ;)

Na das hoffe ich doch auch, commandozeile gut und schön und schnell und und und ... aber bei ner DS die fast DAU sicher von der Weboberfläche zu bedienen ist wäre der Zerfikatkram besser von dort einzurichten :eek:
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Darfst Dich gerne bei der Portierung beteiligen ;)
 

Kidaru

Benutzer
Mitglied seit
04. Nov 2011
Beiträge
63
Punkte für Reaktionen
0
Punkte
6
von Portierung und Codeanpassung der Pakete hab ich leider soviel Ahnung wie ne Kuh vom Eierlegen.
Allerdings muss hier auch Synology mitspielen da der Großteil der Zertifikatsverstellung ja schon vorhanden ist und dort ansich nur die Option fehlt die Zertifikatserstellung über Lets Encrypt laufen zu lassen ^^
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Dann darfst Du Dich zumindest mit einem Ticket beim Synology-Support beteiligen mit dem Wunsch, das zu implementieren - denn das sollte jeder hinbekommen, auch wenn er keine Ahnung vom Eierlegen hat :)
 

melo

Benutzer
Mitglied seit
04. Nov 2015
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Frogman, ich würde mich sehr gerne an der Portierung beteiligen! Kann durchaus brauchbar in verschiedenen Sprachen programmieren, habe den Client im Manual Mode schon angewandt, die Zertifikate für die DS eingerichtet und daher immerhin schon mal ein wenig Ahnung von der Materie. Packages für DSM selbst habe ich aber noch nicht geschrieben. Falls sich hier aber ein Team zusammenfindet (Matthieu hatte auch schon von einer Portierung gesprochen), würde ich mich gerne anschließen. Das wäre für mich ein prima Einstieg in die Entwicklung von Synology Packages und hilfreich könnte ich dabei vermutlich auch sein =)
 

andisds

Benutzer
Mitglied seit
06. Sep 2013
Beiträge
99
Punkte für Reaktionen
2
Punkte
8
Also ich bekomme Lets Encrypt auf meiner DS 215+ nicht zum Laufen ... ich verzweifel hier :D
Ich habe von LetsEncrypt die Bestätigung bekommen, dass ich mit meiner Domain ins Beta Programm aufgenommen wurde und habe auch die Anweisungen der Mail befolgt. Beim Ausführungen von "./letsencrypt-auto --agree-dev-preview --server \ https://acme-v01.api.letsencrypt.org/directory certonly" bekomme ich die Fehlermeldung, dass Virtualenv nicht gefunden wurde, dass wollte ich jetzt installieren.

fehler letsencrypt.JPG

Ich habe das Python Paket 3 und die Module über das Paketzentrum installiert und wollte dann über das Terminal "pip install virtualenv" ausführen. Doch hier gibts nur die Fehlermeldung "pip not foud" -.-

Mit "easy_install virtualenv" ... klappt zwar deren Installation, jedoch sagt das LetsEncrypt-Skript das selbe wie oben: "virtualenv not found"

virtualhatgeklappt.JPG

Falls jemand einen Tipp hat an einen Terminal-Neuling --> immer her damit
 
Zuletzt bearbeitet:

Kidaru

Benutzer
Mitglied seit
04. Nov 2011
Beiträge
63
Punkte für Reaktionen
0
Punkte
6
Zuletzt bearbeitet:

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.704
Punkte für Reaktionen
21
Punkte
118

andisds

Benutzer
Mitglied seit
06. Sep 2013
Beiträge
99
Punkte für Reaktionen
2
Punkte
8

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.386
Punkte für Reaktionen
34
Punkte
68
Request ist raus.
 

Kidaru

Benutzer
Mitglied seit
04. Nov 2011
Beiträge
63
Punkte für Reaktionen
0
Punkte
6

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.569
Punkte für Reaktionen
1.397
Punkte
234
Mal eine Frage in die Runde:
Da die Validierung (so wie ich verstanden habe) ja nicht E-Mailbasiert (d.h., man braucht Kontrolle über die Hauptdomain), sondern Server- / Domainbasiert funktioniert, sollte man doch auch Zertifikate für Subdomains (z.B. eine bliebige DDNS-Adresse) austellen lassen können.

Ist das so?
 

Olli991

Benutzer
Mitglied seit
22. Sep 2012
Beiträge
22
Punkte für Reaktionen
0
Punkte
1
Ich habe es zum Laufen bekommen!
Allerdings nicht nativ auf der NAS und nur im manual mode.

Geholfen hat mir dabei die anleitung aus diesem Thread: https://community.letsencrypt.org/t/synology-nas-using-le-as-a-ca-signing-authority/453/15

Ich werde diese hier noch ma in übersetzer Form posten:

  1. Let's Encryp Beta beitreten (oder bis zur öffentichen Beta warten)
  2. Warten bis man die Mail vom Beta-Programm bekommt damit die Domains gewhitlistet sind.
  3. In DSM einloggen und per FileStation unter "web" folgenden Pfad erstellen: ".well-known/acme-challenge" (vorne ist ein Punkt vor dem "well" !!)
    Hinweis: Die WebStation muss über port 80 erreichbar sein (Also http öffnen und weiterleitung im Router auf 80 auch freigeben!)
  4. Ubuntu 14.04 benutzen (ich habe mir das kurzerhand in VirtualBox installiert)
  5. Terminal öffnen
  6. Folgende Befehle im Terminal eingeben:
    Rich (BBCode):
    git clone https://github.com/letsencrypt/letsencrypt
    cd letsencrypt
    ./letsencrypt-auto --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory certonly -a manual
  7. Es erscheint ein Eingabedialog im Terminal, jetzt müsst ihr eure Domain(s) eingeben
  8. Bestätigen, dass eure IP gesichert wird
  9. Dann erscheinen einige Informationen die in etwa wie folgt aussehen:
    Rich (BBCode):
    Make sure your web server displays the following content at
    http://test.synology.me/.well-known/acme-challenge/aFQ0LDDkn75K3LmvCIUvEYwq2Op1s9-ullGSwjsh0Is before continuing:
    
    aFQ0LDDkn75K3LmvCIUvEYwq2Op1s9-ullGSwjsh0Is.ONcckxWtBH9uUepl5Eo_BMJHTng23yAdFJ_jVtfSNLg
    
    Content-Type header MUST be set to text/plain.
    Mit der Aufforderung PRESS ENTER am Ende (noch nicht ENTER drücken!)
  10. Öffnet TextEdit in DSM
  11. Klickt in TextEdit auf Voreinstellungen, dann auf den Reiter Bearbeiten und wählt bei Standardcodierung UTF-8 aus und Speichern
  12. Dann sagt Ihr Datei -> Neu
  13. Nun kopiert Ihr den Grünen Text in das Dokument (Actung Terminal unter Ubunto kennt kein Strg+c, bitte markiert den Text mit der Maus und dann Rechtklick -> Kopieren. Anderweitig wird das script abgebrochen.)
    Darauf achten, dass nur eine Zeile befüllt ist und keine Leerzeile davor oder danach kommt.
  14. Dann geht Ihr auf Speichern unter
  15. Bei Dateiname kopiert ihr den blauen Text rein (darauf achten, dass kein .txt am ende steht!)
  16. Wechselt zurück in der Terminal-Fenster und drückt Enter
  17. Ihr erhaltet dann eine Erfolgsmeldung, den dort angegebene Pfad ignoriert ihr. / Wenn ihr bei Punkt 7 mehrere Domains angegeben habt, dann erhaltet ihr anstatt der Erfolgmeldung noch mal die Anzeige wie unter Punkt 9. Jetzt sind allerdings andere Schlüssel dort drin. Ihr müsst bei mehreren URLs mehrere dieser Datei dann erstellen!
  18. Navigiert unter Ubuntu nach /etc/letsencrypt/archive/DEINEDOMAIN (Zugriff nur per root-Rechte!)
  19. Kopiert euch die datei cert1.pem, chain1.pem und privkey1.pem an einen anderen Ort bzw. ändert die Zugriffsrechte per chmod oder z.B. mit nautilus
  20. Diese Datein müsst ihr jetzt nur noch in der DSM -> Sicherheit -> Zertifikat importieren. Dabei bedeuten die Datein folgendes:
    Privater Schlüssel = privkey1.pem
    Zertifikat = cert1.pem
    Zwischenzertifikat = chain1.pem
  21. Fertig!

PS: Ich saß jetzt mit dem, der die Anleitung auf Englisch verfasst hat eine Stunde per TeamViewer auf meinem Ubuntu bis wir das alles hin bekommen haben. Nette Nebeninfo: Er ist Chinese und arbeitet bei Synology in der Entwicklung (Quality Control Cloud Station) und will InHouse die implementierung vom ACME-Protokoll durchsetzen ;)

Falls weitere Fragen bestehen sollten, gerne stellen =)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat