Support f?r Let's Encrypt

[newan]

Hallo,

 

Let's Encrypt startet am 3. Dezember die open Beta und es w?re super die Zertifikate mit Froxlor zu verwenden.

Ich habe es bisher mit einem Beta account nicht geschafft die Konfig dauerhaft am laufen zu haben.

 

Ist es geplant dies offziell zu unterst?tzen? K?nnte man ja super in den Cronjob mit einbinden etc?

 

[d00p]

https://redmine.froxlor.org/issues/1470

[Economy]

https://redmine.froxlor.org/issues/1470

 

dürfte integriert sein...

Wie kann ich froxlor updaten?

[d00p]

Ist aktuell nur im git. Entweder auf den nächsten release warten oder git-source nutzen: https://redmine.froxlor.org/projects/froxlor/wiki/InstallationSource

[Fujikatoma]

Ist aktuell nur im git. Entweder auf den nächsten release warten oder git-source nutzen: https://redmine.froxlor.org/projects/froxlor/wiki/InstallationSource

Ist schon absehbar wann die nächste version kommt ? Beziehe Froxlor über meinen Anbieter und dann daher nicht auf GIT ausweichen.

[d00p]

Nein

[Fujikatoma]

Ich konnte jetzt auf die neuste Beta version updaten. Allerdings bekomme ich ein ERR_CONNECTION_REFUSED, ich habe die adresse mit dem Port 443 angelegt. Muss man noch etwas beachten?

[d00p]

Hört dein Apache auch auf port 443? Ist mod_ssl auch aktiviert? Etc.etc.

[Fujikatoma]

Hört dein Apache auch auf port 443? Ist mod_ssl auch aktiviert? Etc.etc.

Macht das Froxlor nicht ? Dann werde ich das mal überprüfen. Danke

[d00p]

Das macht froxlor wenn du es froxlor sagst. Meist ist es nicht nötig, je nach Apache config.

[b03rg3]

So, ich habe mir die aktuelle Beta mal draufgetan um die LetsEncrypt-Integration zu testen.

 

Unter den Server > Einstellungen > SSL-Einstellungen also Letsencrypt-Unterstützung aktiviert, dann noch unter den Resourcen > Domain-Einstellungen ebenfalls LetsEncrypt angeschaltet.

Dann noch drei Subdomains eingerichtet. UNd jetzt? War es dass , oder muss man nochwas ausserhalb der Froxlor-Installation konfigurieren/installieren, etc?

 

Beste Grüße!

[d00p]

Steht doch alles in der readme

[b03rg3]

OK, Es will nicht.

 

Ich habe:

 

- EIne default-froxlor-installation, domain mit ssl dran (echtes, anderes ssl-cert, nicht von letsencrypt.)

- eine Domain OHNE SSL.

- SNI

 

Domain-Settings auf "Mit SSL-Konfig" erweitert, vorher die Settings wie oben beschrieben aktiviert.

 

"Nichts" passeirt.

 

Was mach ich falsch und wo muss ich suchen?

Kann mir jemand helfen?

 

 

Danke!

[d00p]

Hat die domain auch eine ssl-ip/port zugewiesen?

[b03rg3]

froxlor-subdomain.domainA.tld : ipv4/6 80,443, wildcard-cert

domainA.tld : ipv4/6 80,443, wildcard-cert

 

domainB.tld : ipv4/6 80,443, letsencrypt, zeigt aber wildcard-cert

www.domainB.tld : ipv4/6 80,443, letsencrypt, zeigt aber wildcard-cert

[d00p]

dann nopaste doch bitte mal die von froxlor generierten Vhost-Configs aus /etc/apache2/sites-enabled/

[b03rg3]

# 35_froxlor_ssl_vhost_domainB.tld.conf
# Created 15.02.2016 19:50
# Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel.

# Domain ID: 2 (SSL) - CustomerID: 1 - CustomerLogin: bad
<VirtualHost 136.243.45.16:443 [2a01:4f8:212:d09::2]:443>
  ServerName domainB.tld
  ServerAlias www.domainB.tld
  ServerAlias domainC.tld *.domainC.tld
  ServerAdmin badm@domainB.tld
  SSLEngine On
  SSLProtocol ALL -SSLv2 -SSLv3
  SSLHonorCipherOrder On
  SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:EECDH+AES:EDH+AES:AESGCM:AES:-SSLv3:EECDH+AES:EECDH+3DES:kRSA+AES:EDH+AES:EDH+3DES:3DES:!NULL:!ADH:!kECDH:!DSS:!MD5:!PSK:!aNULL:!SRP:!DES:!EXP:!RC4
  SSLVerifyDepth 10
  SSLCertificateFile /etc/apache2/wildcard-domainA.crt
  SSLCertificateKeyFile /etc/apache2/wildcard-domainA.key
  SSLCertificateChainFile /etc/apache2/wildcard-domainA-ca.crt
  DocumentRoot "/var/customers/webs/bad/domainB.tld/"
  php_admin_value open_basedir "/var/customers/webs/bad/domainB.tld:/tmp"
  Alias /webalizer "/var/customers/webs/bad/webalizer/domainB.tld"
  ErrorLog "/var/customers/logs/domainB.tld-error.log"
  CustomLog "/var/customers/logs/domainB.tld-access.log" combined
</VirtualHost>

[d00p]

Joa, da steht offensichtlich das Wildcard-Cert von domainA drin (ich nehme an das hast du bei der IP hinterlegt?). 

 

mach mal ein:

SELECT `letsencrypt` FROM `panel_domains` WHERE `id` = '2';

[b03rg3]

mysql> SELECT `letsencrypt` FROM `panel_domains` WHERE `id` = '2';
+-------------+
| letsencrypt |
+-------------+
|           1 |
+-------------+
1 row in set (0.01 sec)

[d00p]

Passt, ist also aktiv für die Domain. EleRas lässt doch da ordentlich debug-info ausgeben beim cronjob - mal logging aktiviert und geguckt?

[b03rg3]

Was, Wo und Wie?

[d00p]

Settings -> Cronjob -> Cronscript debugging

 

Das lockfile enthält infos darüber was er gemacht hat (am besten in den Log-Einstellungen das Logging noch auf paranoid stellen!) und sollte unter /var/lock/ zu finden sein. Das Debugging schaltet sich automatisch nach einem Lauf wieder ab. Das Lockfile musst du dann aber manuell löschen, sonst läuft der Cron beim nächsten durchlauf nicht

[b03rg3]

Bei mir steht unter Cronjob-Einstellungen -> Lets Encrypt:

 

aktualisiert Let's Encrypt Zertifikate 19.01.2038 04:14

5 MINUTE

 

Ist das so korrekt?

 

Dann noch:

 

Aktuelle /etc/cron.d/froxlor:

 

*/5 * * * * root /usr/bin/nice -n 5 /usr/bin/php5 -q /var/www/html/scripts/froxlor_master_cronjob.php --tasks 1> /dev/null
0 0 * * * root /usr/bin/nice -n 5 /usr/bin/php5 -q /var/www/html/scripts/froxlor_master_cronjob.php --traffic 1> /dev/null
5 0 * * * root /usr/bin/nice -n 5 /usr/bin/php5 -q /var/www/html/scripts/froxlor_master_cronjob.php --used_tickets_reset 1> /dev/null
7 0 1 * * root /usr/bin/nice -n 5 /usr/bin/php5 -q /var/www/html/scripts/froxlor_master_cronjob.php --ticketarchive 1> /dev/null
10 0 * * * root /usr/bin/nice -n 5 /usr/bin/php5 -q /var/www/html/scripts/froxlor_master_cronjob.php --usage_report 1> /dev/null
0 */6 * * * root /usr/bin/nice -n 5 /usr/bin/php5 -q /var/www/html/scripts/froxlor_master_cronjob.php --mailboxsize 1> /dev/null

 

die /etc/cron.d/froxlor aus 0.9.35-dev3 :

 

*/5 * * * * root /usr/bin/nice -n 5 /usr/bin/php5 -q /var/www/html/scripts/froxlor_master_cronjob.php

 

Macht das Sinn?

[d00p]

Ja macht sinn und ist korrekt, ich sehe da aber keinen letsencrypt cron bei dir...ist der aktiviert im panel (Cronjob Einstellungen -> Gucken ob aktiv = Ja) udn dann mach mal bitte ein

php /var/www/html/scripts/froxlor_master_cronjob.php --force

[b03rg3]

Hi d00p,

 

Der fehlende Cronjob war es. Obwohl die Cronjob-Einstellungen auf aktiv standen, gab es keinen Eintrag in /etc/cron.d/froxlor.

 

Danke für deinen Support. Bier? Wohin?

[d00p]

Amazon-Wishlist @ http://www.amazon.de/gp/registry/wishlist/5X5C9WM2KR52?sort=priority

 

oder paypal@froxlor.org