certbot und Apache

lxxfan · 11. Mai 2020

Hallo,

Mein System ist Opensuse tumbleweed

kann mir hier jemand helfen mit certbot und ein ssl zertifikat erstellen für den Apache2 aber ohne Domain.

certbot --authenticator webroot --installer apache -w /srv/www/htdocs -d localhost

The requested apache plugin does not appear to be installed

mit http://localhost ist der Server erreichbar aber nicht mit https://localhost

Hätte auch schon eigene zertifikate erstellt

openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512

openssl x509 -req -in zertifikat.csr -CA ca-root.pem -CAkey ca-key.pem -CAcreateserial -out zertifikat-pub.pem -days 365 -sha512

und nach apache in die ssl Ordner kopiert und in der vhost-ssl.conf hinterlegt.

aber da kommt Firefox mit einer fehlermeldung

ssl_error_rx_record_too_long

apachectl configtest gibt keine fehlermedlung aus.

Syntax OK

Danke euch für eine Hilfe

mfg

Georg

Sauerland · 11. Mai 2020

Zitat

The requested apache plugin does not appear to be installed

Du hast aber schon

python2-certbot-apache oder python3-certbot-apache installiert?

derwunner · 13. Mai 2020

Hallo,

Du brauchst eine Domain, ohne das geht es nicht, egal mit welcher Art man das Zertifikat ausstellen will. Man kann den certbot auch im Standalone oder manuell Modus laufen lassen, wenn es nicht die Maschine ist, auf dem die Domain zeigt. Dafür muss dann aber ein TXT DNS Eintrag hinzugefügt werden. Also man muss quasi immer auf irgendeine Art und Weise die Challenge machen.

Wenn apache installiert ist, der auf Port 80 hört und die Domain eingerichtet ist, dann ist es eigentlich ganz leicht. Weil dann kann die Challenge über den Apache erfolgen.

Berichtigung · 13. Mai 2020

Wie derwunner schon schrieb, werden Certs von Letsencrypt nur für Domains vergeben, die auch via DNS erreichbar sind/existieren.

Deine Domain ist rein lokal. Dafür gibt es keine direkten SSL/TLS Zertifikate.

Du hast zwei Möglichkeiten:

Du arbeitest mit selbsterstellten Zertifikaten.
Was den Nachteil hat, dass der Aufruf einer damit HTTPS- verschlüsselten Website bei jedem Browser zu einer Sicherheitswarnung führt, wo man erst dieses Zertifikat einmal für rechtens erklären muss.
Du besorgst dir ein sogenanntes DynDNS Domainlabel, und erstellst via deren Domain ein Letsencrypt Zertifikat.
Der deutsche Verein DeSEC.io bietet kostenlos solche Domainlabels, für die auch Letsencrypt Zerts möglich sind.
Guckst du https://desec.io
Damit kriegst du ein gültiges Zertifikat für <deinLabel>.dedyn.io , das von jedem Browser aktzeptiert wird.

Ein selbstsigniertes Zert (, das dann jeder Browser anmault), kannst du dir mit diesem kleine Script erzeugen:

(Kopiere dir das Script nach /usr/local/bin und mache es ausführbar)

Bash

#!/bin/bash
years=${1:-3}
valid_days=$((365 * years))
name=${name:-$1}

mkcert(){
        openssl req -x509 -nodes  -newkey rsa:4096 -keyout ${name}_key.pem -out ${name}_cert.pem -days $valid_days
}

mkcert $*

Der Aufruf ist dann einfach:

scriptname localdomainlabel.local.site 2

für ein zwei Jahre gültiges Zertifikat.

(Lässt du die Anzahl der Jahre weg, ist der Default 3

Lässt du auch noch das Domainlabel weg, so wird der Name des Scripts selbst im Cert verwendet (was meist nicht viel Sinn machen dürfte)

Es genügt auch einfach nur die openssl Zeile auszuführen.

Und klar: Das Plugin muss installiert sein, und der Webserver laufen, wenn du richtige Zerts mit einem DynDNS Provider erzeugen möchtest.

lxxfan · 15. Mai 2020

Zitat von Berichtigung
Wie derwunner schon schrieb, werden Certs von Letsencrypt nur für Domains vergeben, die auch via DNS erreichbar sind/existieren.

Deine Domain ist rein lokal. Dafür gibt es keine direkten SSL/TLS Zertifikate.

Du hast zwei Möglichkeiten:
Du arbeitest mit selbsterstellten Zertifikaten.
Was den Nachteil hat, dass der Aufruf einer damit HTTPS- verschlüsselten Website bei jedem Browser zu einer Sicherheitswarnung führt, wo man erst dieses Zertifikat einmal für rechtens erklären muss.
Du besorgst dir ein sogenanntes DynDNS Domainlabel, und erstellst via deren Domain ein Letsencrypt Zertifikat.
Der deutsche Verein DeSEC.io bietet kostenlos solche Domainlabels, für die auch Letsencrypt Zerts möglich sind.
Guckst du https://desec.io
Damit kriegst du ein gültiges Zertifikat für <deinLabel>.dedyn.io , das von jedem Browser aktzeptiert wird.
Ein selbstsigniertes Zert (, das dann jeder Browser anmault), kannst du dir mit diesem kleine Script erzeugen:
(Kopiere dir das Script nach /usr/local/bin und mache es ausführbar)
Bash
#!/bin/bash
years=${1:-3}
valid_days=$((365 * years))
name=${name:-$1}

mkcert(){
        openssl req -x509 -nodes  -newkey rsa:4096 -keyout ${name}_key.pem -out ${name}_cert.pem -days $valid_days
}

mkcert $*
Der Aufruf ist dann einfach:
scriptname localdomainlabel.local.site 2
für ein zwei Jahre gültiges Zertifikat.
(Lässt du die Anzahl der Jahre weg, ist der Default 3
Lässt du auch noch das Domainlabel weg, so wird der Name des Scripts selbst im Cert verwendet (was meist nicht viel Sinn machen dürfte)

Es genügt auch einfach nur die openssl Zeile auszuführen.

Und klar: Das Plugin muss installiert sein, und der Webserver laufen, wenn du richtige Zerts mit einem DynDNS Provider erzeugen möchtest.
Alles anzeigen

lxxfan · 15. Mai 2020

Danke für die Antwort.

Werde deinen Vorschlag ausprobieren vorausgesetzt ich brings hin.

mfg

Georg

certbot und Apache

Tastaturabfrage unter C

Taskleiste startet nicht

Proxmox VE 8.2 hilft mit Assistent beim Umzug von VMware

Probleme mit dem Ausdruck von pdf-Dateien über Okular

USB WLAN Sticks für Opensuse?

MichaRadius

A_Kueb

Kukulkan

vpn

Nidrnox

Teilen

Ähnliche Themen

Opensuse 15.1 SSL unter Apache2 Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG