Jump to content
Froxlor Forum
  • 0

LetsEncrypt ECC/ECDSA support nur bei Neuinstallation?

rseffner

Asked by rseffner,

 Share

Question

rseffner Community Regular

rseffner

Posted
Posted

Hi,

ich habe irgendwann in den Einstellungen unter SSL mal eine ECC-Schlüssellänge gewählt und wohl gehofft, beim nächsten renew werden die Zertifikate "umgestellt". Bei Anlage neuer Domains mit wurde auch brav ECC berücksichtigt. Nun sind offenbar eine Menge nich-ECC Zertifikate abgelaufen und nicht verlängert worden. Rufe ich den cron-task --force --debug mit aktiviertem ECC auf so erhalte ich zu allen Domains, die schon vor ECC ein LE-Zertifikat hatten "[warning] ECC certificates activated but found only non-ecc file" und das Zertifikat in /etc/apache2/ssl beliebt ungeändert. Erst wenn ich ECC deaktiviere hat er endlich den renew gemacht.

Entweder fehlt hier der fallback (hast du kein ECC such ein Zertifikat ohne) für so eine gewachsene Mischinstallation oder das ist so gewollt und ich muss jetzt überall LE deaktivieren, ECC aktivieren udn den Domains LE wieder aktivieren. Eine elegantere Methode zum Upgrade von noch-ECC auf ECC habe ich auch in acme.sh nicht gefunden.

Übersehe ich etwas?

Gruß

3 answers to this question

Recommended Posts

  • 0
rseffner Community Regular

rseffner

Posted
  • Author
Posted

Wenn man das Ergebnis (siehe /tmp/le) folgender quick-and-dirty-Behandlung zurück nach /root/.acme.sh kopiert, im FROXLOR EC-384 aktiviert und "/root/.acme.sh/acme.sh --cron --home /root/.acme.sh --force" gefolgt von "/usr/bin/php7.3 -q /var/www/froxlor/scripts/froxlor_master_cronjob.php --force" aufruft, erhält man das Upgrade bisheriger Zertifikate hin zu ECC

Es werden dabei alle Nicht-ECC Zertifikatsinfos nach /tmp/le kopiert und dort "4069" durch "ec-384" ersetzt. Jetzt der manuelle Kopierjob. Dann wird LE mittels acme.sh gezwungen die Zertifikate zu erneuern (ich hatte ja die Zeitstempel nicht angefasst) und zuletzt kümmert sich der Froxlor-Job um das Kopieren nach /etc/apache2/ssl und eintragen in die VHosts (oder eben analog für nginx).

  

ns1:~# cat 2ecc
#!/bin/bash

mkdir -p /tmp/le

cd /root/.acme.sh
find ./ -mindepth 1 -maxdepth 1 -type d -not -name "*_ecc" -not -name "ca" -not -name "deploy" -not -name "dnsapi" -not -name "notify" | while read LINE; do
        if [ ! -d "$LINE"_ecc ]; then
                cp -r "$LINE" /tmp/le/"$LINE"_ecc
                sed -i "s/Le_Keylength='4096'/Le_Keylength='ec-384'/g" /tmp/le/"$LINE"_ecc/"$LINE".conf
        fi
done

 

  • 0
rseffner Community Regular

rseffner

Posted
  • Author
Posted
25 minutes ago, d00p said:

2) ein von dir beschriebener Fallback Ist vorhanden, siehe https://github.com/Froxlor/Froxlor/blob/3c7bdcb5e0b25be07003f1fe70b968f543f993ed/lib/Froxlor/Cron/Http/LetsEncrypt/AcmeSh.php#L541

3) willst du aus non-ecc ein ECC machen musst du es löschen und neu beantragen

2) Das erklärt leider nicht, warum mir heute mehrere Dutzend abgelaufene Zertifikate um die Ohren geflogen sind, die auch ein --force nicht erneuerte ;-( Da klemmt es also woanders ...

3) Dann ist der Halbautomatismus, den ich parallel hier vorgestellt habe, eher mit Vorsicht zu genießen und für welche, die nicht klickend viele Domains "upgraden" möchten

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing


×
×
  • Create New...