certbot und Apache

Hinweis: In dem Thema certbot und Apache gibt es 5 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • Hallo,


    Mein System ist Opensuse tumbleweed

    kann mir hier jemand helfen mit certbot und ein ssl zertifikat erstellen für den Apache2 aber ohne Domain.


    certbot --authenticator webroot --installer apache -w /srv/www/htdocs -d localhost

    The requested apache plugin does not appear to be installed


    mit http://localhost ist der Server erreichbar aber nicht mit https://localhost

    Hätte auch schon eigene zertifikate erstellt

    openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512

    openssl x509 -req -in zertifikat.csr -CA ca-root.pem -CAkey ca-key.pem -CAcreateserial -out zertifikat-pub.pem -days 365 -sha512

    und nach apache in die ssl Ordner kopiert und in der vhost-ssl.conf hinterlegt.


    aber da kommt Firefox mit einer fehlermeldung

    ssl_error_rx_record_too_long



    apachectl configtest gibt keine fehlermedlung aus.

    Syntax OK


    Danke euch für eine Hilfe


    mfg

    Georg

    Für den Inhalt des Beitrages 279482 haftet ausdrücklich der jeweilige Autor: lxxfan

  • Zitat

    The requested apache plugin does not appear to be installed

    Du hast aber schon

    python2-certbot-apache oder python3-certbot-apache installiert?

  • Hallo,


    Du brauchst eine Domain, ohne das geht es nicht, egal mit welcher Art man das Zertifikat ausstellen will. Man kann den certbot auch im Standalone oder manuell Modus laufen lassen, wenn es nicht die Maschine ist, auf dem die Domain zeigt. Dafür muss dann aber ein TXT DNS Eintrag hinzugefügt werden. Also man muss quasi immer auf irgendeine Art und Weise die Challenge machen.

    Wenn apache installiert ist, der auf Port 80 hört und die Domain eingerichtet ist, dann ist es eigentlich ganz leicht. Weil dann kann die Challenge über den Apache erfolgen.

    Diese Signatur ist derzeit nicht verfügbar.

    Für den Inhalt des Beitrages 279551 haftet ausdrücklich der jeweilige Autor: derwunner

  • Wie derwunner schon schrieb, werden Certs von Letsencrypt nur für Domains vergeben, die auch via DNS erreichbar sind/existieren.


    Deine Domain ist rein lokal. Dafür gibt es keine direkten SSL/TLS Zertifikate.


    Du hast zwei Möglichkeiten:

    1. Du arbeitest mit selbsterstellten Zertifikaten.
      Was den Nachteil hat, dass der Aufruf einer damit HTTPS- verschlüsselten Website bei jedem Browser zu einer Sicherheitswarnung führt, wo man erst dieses Zertifikat einmal für rechtens erklären muss.
    2. Du besorgst dir ein sogenanntes DynDNS Domainlabel, und erstellst via deren Domain ein Letsencrypt Zertifikat.
      Der deutsche Verein DeSEC.io bietet kostenlos solche Domainlabels, für die auch Letsencrypt Zerts möglich sind.
      Guckst du https://desec.io
      Damit kriegst du ein gültiges Zertifikat für <deinLabel>.dedyn.io , das von jedem Browser aktzeptiert wird.

    Ein selbstsigniertes Zert (, das dann jeder Browser anmault), kannst du dir mit diesem kleine Script erzeugen:

    (Kopiere dir das Script nach /usr/local/bin und mache es ausführbar)

    Bash
    #!/bin/bash
    years=${1:-3}
    valid_days=$((365 * years))
    name=${name:-$1}
    mkcert(){
    openssl req -x509 -nodes -newkey rsa:4096 -keyout ${name}_key.pem -out ${name}_cert.pem -days $valid_days
    }
    mkcert $*

    Der Aufruf ist dann einfach:

    scriptname localdomainlabel.local.site 2

    für ein zwei Jahre gültiges Zertifikat.

    (Lässt du die Anzahl der Jahre weg, ist der Default 3

    Lässt du auch noch das Domainlabel weg, so wird der Name des Scripts selbst im Cert verwendet (was meist nicht viel Sinn machen dürfte)


    Es genügt auch einfach nur die openssl Zeile auszuführen.


    Und klar: Das Plugin muss installiert sein, und der Webserver laufen, wenn du richtige Zerts mit einem DynDNS Provider erzeugen möchtest.

    Sokrates sagte, dass er nichts wisse.
    Ich bin viel, viel klüger als Sokrates.
    Ich weiß ganz genau, dass ich gar nichts weiß.

    Für den Inhalt des Beitrages 279563 haftet ausdrücklich der jeweilige Autor: Berichtigung

  • Für den Inhalt des Beitrages 279658 haftet ausdrücklich der jeweilige Autor: lxxfan

  • Danke für die Antwort.


    Werde deinen Vorschlag ausprobieren vorausgesetzt ich brings hin.


    mfg


    Georg

    Für den Inhalt des Beitrages 279659 haftet ausdrücklich der jeweilige Autor: lxxfan