Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

Letsencrypt und Domino - hat das jemand automatisiert?

<< < (2/7) > >>

JoachimB:
Das Letsencrypt Win Simple unterstützte bei mir nur einen Hostnamen und genau dafür gilt das Zertifikat dann nur.
Also so wie du das angegeben hast gilt es dann halt nur für host.de nicht für www.host.de

Da Ich die Zertifikate weiterhin mit der Hand erstelle nutze ich dafür einen Webseiten basierten LetsEncrypt Client.
https://www.sslforfree.com/

Da gebe Ich dann einfach alle Varianten und Domains an die Ich brauche also immer:
host.de www.host.de host2.de www.host2.de

@Edit:
Übersicht der möglichen LetsEncrypt Clients: https://letsencrypt.org/docs/client-options/
Anleitung wie man das in Domino einbaut und welche Dateien man benötigt:
https://xomino.com/2016/02/18/adding-your-lets-encrypt-ssl-certificate-into-your-domino-keyring-file/

Flachmann:
Hallo JoachimB,

danke für den Tipp. Die Liste der Clients und die Anleitung von Marky Roden kannte ich schon. Letzte war die Anleitung, die ich als Einstieg verwendete. Lediglich geht er dann über einen Unix-Client, was ich ja vermeiden möchte.

'SSL For Free' habe ich probiert und auf der Startseite meine beiden Host-Adressen eingegeben. host.de und www.host.de (um beim Beispiel zu bleiben). Dann die beiden Prüf-URLs auf dem Domio-Server aktiviert und letztlich wurden Zertifikate erstellt. Die konnte ich als .zip-Datei runterladen. Inhalt:
ca_bundle.crt
certificate.crt
private.key

Damit ist kyrtool aber auch nicht zufrieden:
        KyrTool v1.1

Successfully read 2048 bit RSA private key
INFO: Successfully read 2 certificates
ERROR: Private key does not match leaf certificate
ERROR: IssuerName of cert 0 does NOT match the SubjectName of cert 1
WARNING: Final certificate in chain is not self-signed

Auch mit den Root- und Intermediate-Zertifikaten von oben sieht es nicht besser aus.
isrgrootx1.pem
lets-encrypt-x3-cross-signed.pem
letsencryptauthorityx3.pem


Jetzt stehe ich total auf dem Schlauch. Wie machst Du das denn?

JoachimB:
Ich habe auf dem Domino leider nur einen direkten Hostnamen ohne www beim Domino Server (host1.host.de).

Da Ich auch die Zertifikate für 2 weitere Web Server erstelle wo wir keine Root Rechte habe nutze ich dort für Normale Web Adressen genau das.

Hast du das ohne www als erstes angegeben (host.de) das würde ich versuchen, der Domino wird bestimmt versuchen sich damit abzugleichen.

Flachmann:
Wenn Du nur eine Host-Adresse hast, würde doch letsencrypt-win-simple für Dich genügen, oder? Dann könntest Du das über einen einfachen Batch-Prozess laufen lassen.

Das www. wird nicht automatisch mit akzeptiert. S.o.:
In Firefox:
https://host.de/            -> Kein Problem! Zertifikat ist OK
https://www.host.de/    -> SSL_ERROR_BAD_CERT_DOMAIN

Tode:
Erst mal eine Antwort für Flacchmann:

Die Datei für Verify muss die Daten in der RICHTIGEN REIHENFOLGE enthaten:

1. Key
2. DEIN Zertifikat (certificate.crt)
3. Chain (ca_bundle.crt)
4. Root (bei mir war im Bundle die Root nicht mit drin, die musste ich manuell runterladen und hinzufügen)

Dann klappt auch das Verify und der Import.

Da ich auf Linux bin, habe ich mir aber jetzt das ganze drumherum gespart und einfach die vorhandenen Werkzeuge verwendet und date mit einem Chron- Job ab.

1. Zertifikate mittels certbot erstellen / updaten:

ERSTELLEN:
./certbot-auto certonly --webroot -w /local/notesdata/domino/html -d www.meinedomain.de -d meinedomain.de -d sub.anderedomain.de

UPDATEN:
./certbot-auto renew

Das erstellt im Verzeichnis /etc/letsencrypt/live/www.meinedomain.de die nötigen Dateien.

2. Root- Zertifikat runterladen und ins Verzeichnis als root.pem stellen

3. kyr Datei generieren (einmalig)
/opt/ibm/domino/bin/tools/startup kyrtool =/local/notesdata/notes.ini create -k /local/notesdata/letsencrypt-multi.kyr -p MyFancyPassword

4. Datei für kyrtool generieren
cat privkey.pem fullchain.pem root.pem >letsencrypt-multi.txt

5. Datei prüfen
/opt/ibm/domino/bin/tools/startup kyrtool =/local/notesdata/notes.ini verify /etc/letsencrypt/live/www.familylink.de/letsencrypt-multi.txt

6. Datei importieren
/opt/ibm/domino/bin/tools/startup kyrtool =/local/notesdata/notes.ini import all -k /local/notesdata/letsencrypt-multi.kyr -i /etc/letsencrypt/live/www.familylink.de/letsencrypt-multi.txt

7. http durchstarten

Die --webroot- Option erstellt innerhalb des Domino- Html- Verzeichnisses die nötigen Challenge- Dateien automatisch, und so lange der Domino läuft und diese ausliefert, läuft das Ding automatisch durch.

Der http- Task liest immer bei Gelegenheit die neuen Zertifikate ein - VOILA.. Und wenn nicht, reicht ein tell http restart.
Da ich aber sowieso den Domino für Backup Nachts kurz runterfahre, ist spätestens am nächsten tag das erneuerte Zertifikat vorhanden.

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete