Let's encrypt! (update)

Door Whatson op dinsdag 9 februari 2016 23:28 - Reacties (22)
Categorie: -, Views: 5.644

https://letsencrypt.org/images/letsencrypt-logo-horizontal.svg

Inmiddels wel bekend bij de meeste tweakers, maar hoe krijg je dit gratis ssl certificaat op je shared hosting?

Ik zelf host mijn website bij Antagonist maar deze heeft geen ingebouwde ondersteuning voor Let's Encrypt dus je zult het certificaat handmatig moeten installeren.
Beveilig je website met SSL. Tijdelijk met 30% korting! SSL leidt het verkeer van en naar je website over een beveiligde HTTPS-verbinding. Dit herken je aan het groene slotje in de browser. Dankzij SSL weet je zeker dat een website veilig en vertrouwd is. Klik hier voor de aanschaf van SSL. Of hier voor meer informatie en een uitgebreide uitleg.
Antagonist probeert je op dit moment een SSL certificaat aan te smeren, dus ondersteuning zal wel niet snel komen.

Voordat je aan de slag kunt heb je toegang nodig tot een pc met Linux (Ubuntu, debian, etc)

Je hebt ten eerste GIT nodig, als je dit nog niet hebt kun je het installeren met:
# ubuntu & debian
apt-get install git
# centos & redhat
yum install git


Vervolgens clone je de letsencrypt code:
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt


Omdat je niet het letsencrypt programma op je shared hosting kunt draaien hebben we manual mode nodig:
./letsencrypt-auto --server https://acme-v01.api.letsencrypt.org/directory certonly --agree-tos -a manual


Vervolgens start de setup.
Vul je email adres in, en alle domeinen waarvoor je SSL wilt

Ga akkoord als de setup vraagt of je IP adres mag worden gelogd
2d2r-Screen Shot 2016-02-09 at 23.13.33.png

vervolgens zie je het volgende voor elk (sub) domein waarvoor je het certificaat wilt laten gelden:
Make sure your web server displays the following content at                     
http://jouw.domein.nl/.well-known/acme-challenge/MxCIzpzD3YYrvWKJBGj[...]PD2g before continuing:

MxCIzpzD3[...]bAMatWiDklp_CCI23E

Zorg dat de tekenreeks beschikbaar is op de locatie die de setup aangeeft bijvoorbeeld door de tekst in een index.html bestand te zetten in de http://jouw.domein.nl/.well-known/acme-challenge/MxCIzpzD3YYrvWKJBGj[...]PD2g map.

Als alles goed gaat zie je het volgende:
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/jouw.domein.nl/fullchain.pem. Your cert will
   expire on 2016-05-09. To obtain a new version of the certificate in
   the future, simply run Let's Encrypt again.
 - If you like Let's Encrypt, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Je keys staan in /etc/letsencrypt/live/jouw.domein.nl/
Je hebt eventueel sudo nodig om de map te benaderen

Ga naar directadmin > advanced > ssl certificate
http://i.sver.re/xph9-le-da-1.png
Selecteer 'Paste a pre-generated certificate and key' en kopieer de inhoud van 'cert.pem' en direct daar onder de inhoud van 'privkey.pem' en klik op [save].

Als dit gelukt is, ga naar home, en opnieuw naar dezelfde ssl certificate pagina
Scroll helemaal naar beneden en klik op 'Click Here to paste a CA Root Certificate'. Selecteer 'CA Cert.' en kopieer de inhoud van chain.pem in het tekstvak.
http://i.sver.re/x5t3-le-da-2.png
Druk opnieuw op [save]

Als het goed is staat SSL nu aan voor je domein, je kunt eventueel het volgende nog controleren:
Ga naar "Domain Setup". Klik op je domein naam. Selecteer Secure SSL en druk op Save. Onder private_html setup voor domein.nl selecteer 'Use a symbolic link from private_html to public_html - allows for same data in http and https'. Klik opnieuw op [save]

7bck-Screen Shot 2016-02-09 at 23.25.51.png

Update 14/2:
Antagonist heeft SSH toegang aangekondigd. Dit betekent dat zeer waarschijnlijk de automatische installatie nu ook werkt. Ik heb dit persoonlijk nog niet geprobeerd, maar als je meer wilt weten over de automatische installatie,
Klik hieronder op de link naar het originele artikel.

Edit2: Het lijkt erop dat de oude Basic, Unlimited en Premium pakketten dit niet ondersteunen. Alleen de nieuwe Slim, Plus en Pro kunnen dit.

naar: https://raymii.org/s/articles/Lets_Encrypt_Directadmin.html

Volgende: How to: Pimatic Presence Sensor with OpenWRT 07-'16 How to: Pimatic Presence Sensor with OpenWRT

Reacties


Door Tweakers user RobIII, dinsdag 9 februari 2016 23:50

Nu nog de procedure om elke 3 maanden je certificaat te vernieuwen :Y)

Door Tweakers user MrOizo2005, dinsdag 9 februari 2016 23:51

Handig ! zelf is het voor mij niets nieuws. Maar denk dat er wel mensen zijn die hier iets aan hebben.

Misschien even erbij vermelden dat deze certificaten om de 3 maanden geldig zijn en ook voor die tijd vernieuwd dienen te worden.

Door Tweakers user _trickster_, woensdag 10 februari 2016 00:00

In de aankomende Update van Directadmin (V1.50) wordt let's encrypt toegevoegd, inclusief automatische vernieuwing en One-Click-setup.

Er waren al nederlanders bezig met een Externe plugin om dit mogelijk te maken, maar er is laatst naar buiten gekomen dat dit een optie wordt in Directadmin.

Vanaf 20 Feb gaat de update uit Beta en komt hij in Production modus,
Nu alleen nog hopen dat jou host het ook aan wil zetten, ik ben zelf een hoster met meerdere DirectAdmin instalaties, en wacht met smart op deze update.

Door Tweakers user fvdberg, woensdag 10 februari 2016 00:04

goed nieuws! heel blij mee, kan niet wachten tot het beschikbaar is


Door Tweakers user bigben04, woensdag 10 februari 2016 08:16

Bedankt voor de info, ik heb ook een domeintje lopen bij Antagonist dus ik ga hier zeker een keertje mee aan de slag!

Door Tweakers user DarkFire1985, woensdag 10 februari 2016 09:05

Ik heb dit script gebruikt: https://github.com/sjerdo/letsencrypt-directadmin
Werkte bij mij destijds prima (ook Antagonist account).

Door Tweakers user Whatson, woensdag 10 februari 2016 09:28

DarkFire1985 schreef op woensdag 10 februari 2016 @ 09:05:
Ik heb dit script gebruikt: https://github.com/sjerdo/letsencrypt-directadmin
Werkte bij mij destijds prima (ook Antagonist account).
Dit doet alles voor je? Dus het maakt ook automatische de .well-known/acme-challenge/ mappen aan?

Door Tweakers user DarkFire1985, woensdag 10 februari 2016 11:27

Whatson schreef op woensdag 10 februari 2016 @ 09:28:
[...]

Dit doet alles voor je? Dus het maakt ook automatische de .well-known/acme-challenge/ mappen aan?
Het is alweer een tijdje geleden maar ik heb alleen het script gedraaid.
Wel wat uitdagingen hierin dacht ik maar ik weet niet meer wat precies (verkeerde versies van python modules dacht ik).
Uiteindelijk heb ik alleen het script toegang gegeven tot DirectAdmin met behulp van een API autorisatie en gedraaid met de juiste parameters.

Ik zie geen .well-known/acme-challenge/ mappen op mijn account staan maar het certificaat werkt gewoon.


Door Tweakers user BeefHazard, woensdag 10 februari 2016 18:49

LetsEncrypt is heel tof. Ik probeerde het laatst. Na lang troubleshooten bedacht ik me iets. Ik heb een SSH server op poort 443 lopen om de firewall van m'n school te passeren. Helaas pindakaas, geen let's encrypt voor mij.

Door Tweakers user sjerdo, woensdag 10 februari 2016 21:25

DarkFire1985 schreef op woensdag 10 februari 2016 @ 11:27:
[...]


Het is alweer een tijdje geleden maar ik heb alleen het script gedraaid.
Wel wat uitdagingen hierin dacht ik maar ik weet niet meer wat precies (verkeerde versies van python modules dacht ik).
Uiteindelijk heb ik alleen het script toegang gegeven tot DirectAdmin met behulp van een API autorisatie en gedraaid met de juiste parameters.

Ik zie geen .well-known/acme-challenge/ mappen op mijn account staan maar het certificaat werkt gewoon.
De .well-known/acme-challenge/ map inclusief content worden na het uitvoeren van de challenge weer verwijderd. Dit is de standaard werkwijze zoals is aangegeven in de ACME specificatie.

Door Tweakers user Pietervs, woensdag 10 februari 2016 22:29

Stomme vraag (moet nog Googlen), maar werkt dit ook op een nas van bijvoorbeeld Qnap? :?

Door Tweakers user Poenzkie, donderdag 11 februari 2016 08:22

Pietervs schreef op woensdag 10 februari 2016 @ 22:29:
Stomme vraag (moet nog Googlen), maar werkt dit ook op een nas van bijvoorbeeld Qnap? :?
Ik heb het zelf uiteindelijk werkend gekregen op me Qnap. Ik heb alleen de installatie programma's niet werkend gekregen. Heb het via https://gethttpsforfree.com/ gedaan en vervolgens de certificaten geimporteerd in de GUI van Qnap. Helaas dus geen auto-renewal

Door Tweakers user Harm_H, donderdag 11 februari 2016 10:39

Waarom heb je specifiek een linux machine nodig?

Ook misschien een 'domme vraag', moet je een server hebben die continu aan het internet hangt? Zoals m'n synology?

Door Tweakers user Whatson, donderdag 11 februari 2016 11:15

Harm_H schreef op donderdag 11 februari 2016 @ 10:39:
Waarom heb je specifiek een linux machine nodig?

Ook misschien een 'domme vraag', moet je een server hebben die continu aan het internet hangt? Zoals m'n synology?
Het programma om de certificaten te genereren werkt alleen op Linux, vandaar. Je server hoeft alleen tijdens de validatie aan het net te hangen, maar moet wel via een domeinnaam te bereiken zijn.

Door Tweakers user elleP, donderdag 11 februari 2016 19:02

BeefHazard schreef op woensdag 10 februari 2016 @ 18:49:
LetsEncrypt is heel tof. Ik probeerde het laatst. Na lang troubleshooten bedacht ik me iets. Ik heb een SSH server op poort 443 lopen om de firewall van m'n school te passeren. Helaas pindakaas, geen let's encrypt voor mij.
Als het goed is (tm) kan je met een ssh https multiplexer zowel ssh als https op poort 443 serveren, als bonus kan je ook nog openvpn erbij stoppen.

Zelf geen ervaring mee, maar ik wist dat het bestond.

http://bernaerts.dyndns.org/linux/75-debian/210-debian-sslh

Door Tweakers user kmsch, vrijdag 12 februari 2016 14:09

Oh top!! Zat ik net op te wachten :) Komt als geroepen dit!

Door Tweakers user vt220, zaterdag 13 februari 2016 13:45

Dat is een hele goede opstap.

Ik moest alleen wel tijdelijk de regel:
RewriteRule "(^|/)\." - [F]
uitcommentarieren in mijn .htacces file. Anders kan de url niet gelezen worden.

Nu nog een uitzoeken hoe ik direct admin ook zo ver krijg dat de de verbinding secure is. Daar krijg ik nog steeds een waarschuwing. Tips zijn natuurlijk welkom. Ik heb zelf nog niet gezocht.

Door Tweakers user Whatson, zaterdag 13 februari 2016 13:48

vt220 schreef op zaterdag 13 februari 2016 @ 13:45:
Dat is een hele goede opstap.

Ik moest alleen wel tijdelijk de regel:
RewriteRule "(^|/)\." - [F]
uitcommentarieren in mijn .htacces file. Anders kan de url niet gelezen worden.

Nu nog een uitzoeken hoe ik direct admin ook zo ver krijg dat de de verbinding secure is. Daar krijg ik nog steeds een waarschuwing. Tips zijn natuurlijk welkom. Ik heb zelf nog niet gezocht.
Ook niet vergeten het root certificaat te uploaden en te controleren of SSL daadwerkelijk aanstaat binnen DirectAdmin. Je browser geeft trouwens nuttige info (moet je even op meer info of details klikken bij die melding) als het certificaat niet valid is voor een domein, dit kun je ook nog oven controleren.

Door Tweakers user Toshin, zaterdag 13 februari 2016 21:04

_trickster_ schreef op woensdag 10 februari 2016 @ 00:00:
In de aankomende Update van Directadmin (V1.50) wordt let's encrypt toegevoegd, inclusief automatische vernieuwing en One-Click-setup.

Er waren al nederlanders bezig met een Externe plugin om dit mogelijk te maken, maar er is laatst naar buiten gekomen dat dit een optie wordt in Directadmin.

Vanaf 20 Feb gaat de update uit Beta en komt hij in Production modus,
Nu alleen nog hopen dat jou host het ook aan wil zetten, ik ben zelf een hoster met meerdere DirectAdmin instalaties, en wacht met smart op deze update.
Bedankt voor het melden, ik kijk er naar uit :)

Door Tweakers user jzegers, woensdag 13 april 2016 20:12

Betreffende Antagonist en SSH toegang:

Voor het opzetten van LetsEncrypt heb je sudo of su nodig, wat niet ondersteund wordt.
Dus helaas.

Bij Antagonist zijn ze 'aan het kijken naar de mogelijkheden' voor het ondersteunen van LetsEncrypt in DirectAdmin

Voor een topic betreffende LetsEncrypt en Antagonist kan je hier kijken

Reageren is niet meer mogelijk