LetsEncrypt Frage

    This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

    • ShadowJumper wrote:

      Wenn die Domain so geheim ist das Sie nicht genannt werden darf, sondern das man stattdessen Fake Links erzeugt, habe ich einfach keine Lust meine Freizeit für Support zu opfern der sowieso dann völlig Sinn frei ist, wenn man nur ins blaue rein raten kann.
      ShadowJumper, sorry, aber die Domain ist absolut nicht geheim und was meinst du mit Fake-LInks?
      Wenn du in meine vorletzte Anwort schaust, dann siehst du dass ich dort einen Screenshot zu meinen Prüfungen angehängt habe. Da kann man auch sowohl im Link als auch im Screenshot die Domain sehen: Aufstehen-wiki.de

      Ich habe inzwischen auch noch ein Zertifikat für den Server s1.consultus.club selbst installiert. Das wird von ssl-trust.com als okay angesehen, bei ssllabs hat es aber nur Rate B.
      Dann habe ich für die virtuelle Domain consultus.club ein Zertififikat generiert. Das wird von ssl-trust.com auch als okay angesehen, bei ssllabs hat es auch nur Rate B.

      Dann habe ich für aufstehen-wiki.de das Zertifikat nochmals gelöscht und ein neues generiert. Aber auch das hat leider nichts geändert. Hier wird bei ssl-trust nach wie vor das übergeordnete Zertifikat nicht gefunden, obwohl da eigentlich nichts anders ist als bei consultus.club - außer dass ich da noch zwei die Domains ohne Bindestrich mit inkludiert habe, die in Easyscp auf die Domain mit Bindestrich weitergeleitet werden.

      ich würde mich freuen, wenn mir da jemand nach Abklingen des Weihnachtsstresses irgendwie weiterhelfen kann.
      Ich blick da nicht durch, was da jetzt noch falsch sein könnte.

      The post was edited 2 times, last by Boniro ().

    • Ja, SSL ist für Aufstehen-Wiki.de aktiviert. Man kommt ja auch mit https drauf.

      Dass das Zertifikat für s1.conultus.club zuerst geprüft wird, ist nur bei SSLLabs so. Die gehen offenbar als erstes über die IP rein, die für alle Domains auf dem Server identisch ist.
      Der Servername ist s1.consultus.club und dafür hatte ich dann ja auch ein Zertifikat installiert und auf Serverebene in EasySCP eingetragen.

      Der zweite Versuch ist dort dann offenbar, über die IPV6-Adresse auf die Domain zu gehen. Und das klappt generell nicht, da in Apache die Eintragungen der IP6-Adressen ja generell fehlen.

      Ich habe auch bei EasySCP Version 2.1.0 keine Möglichkeit gefunden, die so einzutragen, dass Apache2 sie kennt. Habe ich da etwas übersehen?
      Das dürfte die "Inconsistent Server Configuration " sein, die SSLLabs anmeckert.

      Wenn ich vom Server aus ein Ping auf die virtuellen Domains mache, wird der auch mit der IPV6-Adresse versucht - und klappt nicht.
      Irgendwelche Tipps dazu?

      Bei ssl-trust.com/SSL-Zertifikate/check sieht das etwas anders aus. Dort bekomme ich eindeutig das Zertifikat von Aufstehen-Wiki.de angezeigt. Ich habe das ja inzwischen mehrfach neu generiert und es wird da immer das aktuelle angezeigt. Aber es wird immer angemeckert, dass das übergeordnete Zertifikat nicht gefunden wird.

      Bei der virtuellen Domain consultus.club / consultus.club klappt das dagegen einwandfrei, obwohl ich da ganz genau das gleiche gemacht habe!
      Das verwundert mich etwas. Vielleicht liegt es daran, weil die Endung da identisch mit der Serverdomain ist?
      Muss ich die anderen virtuellen Domains auf dem Server vielleicht noch irgenwo eintragen?
    • Ich habe die IPV6-Adresse für den Server eingetragen (siehe Anhang).
      Die weitereren unterschiedlichen Adressen für die virtuellen Domains werden dort aber nicht angenommen, da sie alle die gleiche IP4-Adresse haben.
      Images
      • Screenshot-2019-1-1 EasySCP - Admin IP manage.png

        24.46 kB, 1,637×457, viewed 89 times
    • Was verstehst du unter "Die weitereren unterschiedlichen Adressen für die virtuellen Domains"?

      Soweit ich das weiß, erlaubt es Apache bei virtuellen Domains nicht, das diese Querbeet auf unterschiedlichen IPv4/IPv6 Adressen laufen.

      Ich hatte das mal vor Jahren getestet, und dabei ging es nicht, das zwei Domains die gleiche IPv4, aber unterschiedliche IPv6 Adressen hatten (auch wenn das Apache eigentlich egal sein sollte).

      Daraufhin wurde dann das System insofern geändert, das es halt nur noch eine IPv4/IPv6 Adresse gibt. Weil es das System ansonsten nur unnötig unübersichtlich machen würde.

      Dank SNI gibt es damit auch bei SSL keine Probleme. Insofern erschließt sich dann auch nicht mehr der Sinn für unterschiedliche IP Adressen auf einem Server.
      Gruss
      Shadow
    • Ok, ich bin wieder ein Stück weiter.
      1. Ich habe jetzt die IPV6-Adressen alle auf die Serveradresse gesetzt. Damit sind die Domains jetzt auch über IPV6 erreichbar.
      2. sslLabs meldete danach sofort für alle Domains Grade B.

      ssl-trust.com/SSL-Zertifikate/check und
      sslmarket.de/ssl-verification-tool/ meldeten aber bei den virtuellen Domains weiter, dass diese unsicher sind, weil das CA Certifikat nicht gefunden wird.


      3. Das hat offenbar mit einem FEHLER im EasySCP-Admin-Programm zu tun! (EasySCP V. 2.1.0 - 20180216)


      Für die virtuelle Domain consultus.club wurde in der Apache Config die Zeile

      SSLCACertificateFile /etc/ssl/certs/easyscp_consultus.club-cacert.pem
      eingetragen und die zugehörige Datei erzeugt.

      Für die anderen virtuellen Domains fehlt diese Zeile und die zugehörige Datei.


      Ich habe diese Datei dann für die Domain Aufstehen-wiki.de manuell erzeugt und in die Apache Config eingetragen.


      Nach Service Apache2 restart funktionierte dann die Prüfung auch mit den anderen Programmen einwandfrei.


      Wenn ich das CA Zertifikat im Admin-Programm rausnehme, speichere und es anschließend wieder neu eintrage, wird die CACertifikat-Datei nicht überschrieben - und der Eintrag in der Apache-Config-Datei verschwindet!

      Möglicherweise ist das Problem so entstanden, dadurch dass ich beim Ersteintrag das CA-Zertifikat nicht eingetragen hatte und das Update offenbar aus irgendeinem Grund nicht funktioniert.



      4. Dann habe ich das gleiche auch für die Domain 60-70-rock.de gemacht (CA Zertifikat kopiert und in die Apache-Config eingetragen).

      Bei der Domain funktioniert das jetzt aus irgendeinem Grund aber immer noch nicht, was ich nun wirklich nicht verstehe.

      5. Für Aufstehen-Wiki.de funktioniert das Versenden von Emails über SSL (Port 465) nur, wenn ich selfsigned-Zertifikat zulasse.
      Ich denke, da feht der Eintrag des SSLCACertifikateFile auch noch.

      In welchen Dateien muss ich da noch den Link zum CA Certifikat eintragen?
    • Hi,

      bzgl. dem "Fehler": Das ist ein "kleiner" Bug. Wenn man bei den SSL Einstellungen was ändert an den Zertifikaten, OHNE oben an der Einstellung was zu ändern, dann werden diese leider nicht gespeichert. Also wenn man z.b. das CACert hinzufügt, aber ansonsten alles dabei belässt. Derjenige der das ursprünglich aber programmiert hatte, hat sich nur insofern dazu geäußert das die Aussage kam "Dann sollen die Leute es halt gleich richtig eintragen....".

      Und ich selber hatte noch keine Zeit das neu zu überarbeiten, so das wirklich jede Änderung auch gespeichert wird.

      Aktuell behelfe ich mir auch noch damit das ich dann z.b. von "SSL only" auf "both" umstelle, speichere, und es dann nochmals umstelle das es auch komplett gespeichert wird.
      Gruss
      Shadow