voraussetzungen für import/installation von zertifikat

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
michaa7
Beiträge: 4611
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

voraussetzungen für import/installation von zertifikat

Beitrag von michaa7 » 13.05.2016 16:09:38

Hi,

ich administriere (für meinen in der Schweiz lebenden und dort selbständig als Physiotherapeut arbeitenden Bruder) eine hier in Deutschland gehostete Seite mit schweizer TLD .ch . In der Schweiz ist eine Umstellung für gewerbliche Seiten auf https noch nicht Pflicht, in soweit sehe ich die Zertifikatsfrage derzeit noch recht entspannt. Dennoch möchte ich sie angehen.

Der Hoster mit Sitz in Hamburg würde schon SSL-Zertifikate bereitstellen, allerdings zu einen Preis von 30€/Jahr. Bei der betreffenden Website ging es von Anfang an auch darum, zu möglichst geringen laufenden Kosten eine Webpräsenz zu erstellen. Das scheint mit 12€ für den Registrar und einen Anteil aus ca. 12€ Hostinggebühr auch gelungen. Nun jedes jahr erneut für ein Zertifikat zu zahlen, noch dazu in der Größenordnung erscheint mir für den Zweck völlig unangemessen.

Daher möchte ich nun verstehen welche Voraussetzungen erfüllt sein müssen, damit ich für eine ch-Domain, die ich über einen schweizer Registrar eigenständig verwalte bei meinen Hoster hier in Deutschland (oder falls ich diesen aus oben genannten Gründen wechsle auch in der Schweiz) ein selbst erstelltes Zertifikat (letsencrypt) importieren bzw installieren kann. Ich habe bei meinem derzeitigen Hoster keinen vollen root Zugriff, kann allerdings ausser auf /html noch auf eine Anzahl weiterer (Debian?-) Verzeichnissse zugreifen.

Nun die konkretere Frage: Wohin und wie ließe sich ein selbst erstelltes Zertifikat in einen Webspace ohne vollen Rootzugriff installieren/importieren?
Zuletzt geändert von michaa7 am 13.05.2016 17:29:59, insgesamt 1-mal geändert.
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: voraussetzungen für import/installation von zertifikat

Beitrag von bluestar » 13.05.2016 16:52:01

Auch wenn du dich nicht darüber freuen wirst, aber es reicht nicht das Zertifikat irgendwo in das Dateisystem zu kopieren, es muss dem Webserver-Programm ja auch bekanntgemacht werden.

pgs
Beiträge: 123
Registriert: 22.07.2004 14:30:40

Re: voraussetzungen für import/installation von zertifikat

Beitrag von pgs » 13.05.2016 17:04:44

...wobei das nicht so kompliziert ist. Die Doku von Apache hilft da weiter.

DeletedUserReAsG

Re: voraussetzungen für import/installation von zertifikat

Beitrag von DeletedUserReAsG » 13.05.2016 17:26:31

… wozu man wiederum Zugriff auf die Configs des httpd haben muss, was der Threadstarter explizit nicht hat. Wenn die Gebühren für das Zertifikat bei dem Anbieter nicht akzeptabel sind, wird wohl als einzige Möglichkeit bleiben, einen anderen Anbieter zu suchen. Ob sich allerdings einer findet, der sowas für eine Münze im Monat anbietet, ist eher fraglich.
Zuletzt geändert von DeletedUserReAsG am 13.05.2016 17:30:16, insgesamt 1-mal geändert.

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: voraussetzungen für import/installation von zertifikat

Beitrag von habakug » 13.05.2016 17:27:58

Hallo!

Hier ist wohl das lokale Erstellen der Zertifikate gemeint. Man kann das Skript dazu im manuellen Modus aufrufen:

Code: Alles auswählen

# letsencrypt --rsa-key-size 4096 -a manual certonly
Nach Eingabe der Daten bleibt das Skript mit der Ausgabe einiger kryptischer Daten stehen. Jetzt nicht die Eingabetaste drücken!
Man erstellt (z.B. per FTP) auf dem Webroot des Servers den Ordner .well-known/ und den Unterordner acme-challenge. In dem Unterodner wird eine Datei mit dem langen kryptischen Namen aus der Ausgabe des Skriptes und dem darunter angegebenen kryptischen Inhalt erstellt. Klar das hier öffentliche Leserechte eingeräumt werden müssen. Letsencrypt greift auf diese Datei zu und die Zertifikate werden lokal im Ordner /etc/letsencrypt/ abgelegt. Die Provider bieten meist ein Webinterface an, in das man die Certs und Keys werfen kann.

Gruss, habakug

edit: /Quote-Tag/Code-Tag/
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

DeletedUserReAsG

Re: voraussetzungen für import/installation von zertifikat

Beitrag von DeletedUserReAsG » 13.05.2016 17:40:46

Hier ist wohl das lokale Erstellen der Zertifikate gemeint.
Ich denke nicht:
Daher möchte ich nun verstehen [wie ich] ein selbst erstelltes Zertifikat (letsencrypt) importieren bzw installieren kann

michaa7
Beiträge: 4611
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

Re: voraussetzungen für import/installation von zertifikat

Beitrag von michaa7 » 13.05.2016 17:45:02

habakug hat geschrieben:Hallo!

Hier ist wohl das lokale Erstellen der Zertifikate gemeint.
Möglicherweise. Ich bin mir noch nicht sicher ob ich die von dir beschriebene Vorgehensweise richtig verstanden habe. Muss ich mal drauf rumkauen ... und ausprobieren.

Muss dazu nicht letsencrypt hosterseitig installiert sein? Wenn das Ausführen eines Scripts nach dem Hochladen reichen sollte müsst ich nur abklären, ob ich so ohne weiteres ein script ausführen kann. Ich administriere den Webauftritt bislang nur über (s)ftp und Plesk. Ob ich per ssh draufkomme (was wohl zum ausführen eines Scripts Voraussetzung wäre) muss ich erst mal nachschauen, hatte ich bisher keinen Bedarf. Aber ich verstehe deine Beschreibung so, dass das dann wohl reichen würde.
habakug hat geschrieben:Die Provider bieten meist ein Webinterface an, in das man die Certs und Keys werfen kann.
Das wäre aber eine *alternative* Vorgehensweise, richtig?


Danke für deine Hinweise!
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)

michaa7
Beiträge: 4611
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

Re: voraussetzungen für import/installation von zertifikat

Beitrag von michaa7 » 13.05.2016 17:47:54

niemand hat geschrieben:
Hier ist wohl das lokale Erstellen der Zertifikate gemeint.
Ich denke nicht:
Daher möchte ich nun verstehen [wie ich] ein selbst erstelltes Zertifikat (letsencrypt) importieren bzw installieren kann

Haaaaalt!

Wenn sich ein *eigenes* Zertifikat lokal erstellen ließe bin ich dabei. Ich will nur nicht meinen Hoster für ein Zertifikat bezahlen müssen. Wie ich *meines* da drauf bekomme ist mir egal, solange es meines ist.
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)

DeletedUserReAsG

Re: voraussetzungen für import/installation von zertifikat

Beitrag von DeletedUserReAsG » 13.05.2016 17:51:04

… in dem Fall hängt’s eindeutig davon ab, was der Anbieter vorsieht. Entsprechend wird genau dieser dir deine Frage eher beantworten können, als irgendjemand sonst hier.

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: voraussetzungen für import/installation von zertifikat

Beitrag von habakug » 13.05.2016 17:52:41

Hallo!

Du installierst letsencrypt auf deinem Linux-Rechner und stößt von dort das Erstellen der Zertifikate an. Durch das Erstellen der Ordner und der Datei mit den langen kryptischen Namen beweist du die Herrschaft über das Webroot und alle sind zufrieden. Die Hoster, die keinen Zugriff auf den Webserver zulassen, bieten das Hochladen der Zertifikate über ihr Webinterface an. Sonst solltest du wechseln, das ist doch Vertrauenssache, du musst schon deine eigenen (selbsterstellten) Zertifikate verwenden können.

Gruss, habakug
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

michaa7
Beiträge: 4611
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

Re: voraussetzungen für import/installation von zertifikat

Beitrag von michaa7 » 13.05.2016 18:26:31

habakug hat geschrieben:Hallo!

Du installierst letsencrypt auf deinem Linux-Rechner und stößt von dort das Erstellen der Zertifikate an.
Verstanden
habakug hat geschrieben:Durch das Erstellen der Ordner und der Datei mit den langen kryptischen Namen beweist du die Herrschaft über das Webroot und alle sind zufrieden.
Ich gehe davon aus dass hier "Webroot" das Verzeichnis html/<meinWebauftritt> meint in welchem die Dateien für einen bestimmte Webauftritt/eine bestimmte Domain liegen. Dort liegt ja beisspielsweise auch die .htaccess, oder die Datei mit der ich Goggle analytics die Herrschaft über die betreffende Domain nachweise.
habakug hat geschrieben:Die Hoster, die keinen Zugriff auf den Webserver zulassen, bieten das Hochladen der Zertifikate über ihr Webinterface an.
Ok, unter "Webserver" verstehst du hier *nicht* Apache, Ngix usw, sondern das oben genannte html Stammverzeichnis, richtig?
habakug hat geschrieben:Sonst solltest du wechseln, das ist doch Vertrauenssache, du musst schon deine eigenen (selbsterstellten) Zertifikate verwenden können.
Genau weil ich das auch so sehe habe ich diesen thread erstellt, um zu verstehen ob es mit meinen derzeitigen hoster (mit dem ich an und für sich zufrieden bin) geht oder worauf ich ggf. bei einem Wechsel achten müsste.


Eine abschließende Frage habe ich aber noch: Bedarf es nicht auch eines Eingriffs in die config des Webservers (apache, Ngix, was auch immer) damit die Seite dann über https ausgeliefert wird. Diesen Zugriff habe ich definitiv nicht, zumindest nicht direkt. Über Plesk kann ich an ein paar Schrauben drehen, directory_listing an/aus usw.
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: voraussetzungen für import/installation von zertifikat

Beitrag von habakug » 13.05.2016 18:33:11

Hallo!
Bedarf es nicht auch eines Eingriffs in die config des Webservers (apache, Ngix, was auch immer)
Ja klar. Aber darauf hat ja zumindest der Hoster Zugriff. Die Pfade zu den Zertifikaten/Keys müssen dem Webserver bekannt gemacht werden und die Konfiguration neu geladen werden. Wenn du also den Webserver(-Dienst) nicht neustarten kannst, bist du auf die Zusammenarbeit mit deinem Hoster angewiesen. Ich habe schon Plesk-Panels gesehen in denen eine Zertifikatverwaltung integriert war.

Gruss, habakug
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

michaa7
Beiträge: 4611
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

Re: voraussetzungen für import/installation von zertifikat

Beitrag von michaa7 » 13.05.2016 19:02:17

Ok, danke, das war alles recht informativ und ich glaube ich habe im Groben und auch weitgehend im Detail verstanden wie das mit eigenen Zertifikaten ablaufen könnte, bzw. wo genau die Hürden stehen, die ich oder eben mein Hoster nehmen muß.

Jetzt aber dennoch eine allerletzte Frage:
Gehen wir mal davon aus, das klappt so wie beschrieben ( ich erstelle die Dateien wie von dir beschrieben und lade sie in mein Webroot hoch), der Hoster greift entsprechend in die Webserver-config ein, meinetwegen gegen eine *einmalige* Gebühr. Nun hat das letsencrypt-Zertifikat ja nur eine begrenzte Laufzeit mit ggf. automatischer (?) Erneuerung. Was ist jetzt im hier beschriebenen Zenario die Konsequenz?

A) Ich *und* der Hoster, wir beide müssen dann jeweils erneut aktiv werden?
B) Nur ich muß aktiv werden, die Erneuerung des Zertifikats bedingt ein Neuerstellen der entsprechenden Datei in meinen Webroot, aber keine neuen Eingriffe an der Webserver-config durch den Hoster.
C) Niemand muß eingreifen, weil ???
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: voraussetzungen für import/installation von zertifikat

Beitrag von bluestar » 17.05.2016 07:31:03

michaa7 hat geschrieben: A) Ich *und* der Hoster, wir beide müssen dann jeweils erneut aktiv werden?
B) Nur ich muß aktiv werden, die Erneuerung des Zertifikats bedingt ein Neuerstellen der entsprechenden Datei in meinen Webroot, aber keine neuen Eingriffe an der Webserver-config durch den Hoster.
C) Niemand muß eingreifen, weil ???
Kurzform: A
Wenn das Zertifikat abläuft, dann musst du dich normalerweise um die Verlängerung kümmern und dann ist auch wieder dein Hoster gefragt, der das Zertifikat (neue Datei) einspielen muss.

pgs
Beiträge: 123
Registriert: 22.07.2004 14:30:40

Re: voraussetzungen für import/installation von zertifikat

Beitrag von pgs » 17.05.2016 14:04:11

niemand hat geschrieben:… wozu man wiederum Zugriff auf die Configs des httpd haben muss, was der Threadstarter explizit nicht hat. Wenn die Gebühren für das Zertifikat bei dem Anbieter nicht akzeptabel sind, wird wohl als einzige Möglichkeit bleiben, einen anderen Anbieter zu suchen. Ob sich allerdings einer findet, der sowas für eine Münze im Monat anbietet, ist eher fraglich.
Ups, das habe ich übersehen, sorry!

Antworten