1

Onderwerp: free tls/ssl

hallo allemaal

met dank aan EdbO heb ik men apache2 webserver werkend met htttps ssl.
voor de sertificaten daarvoor heeft hij me ge wezen op: https://letsencrypt.org
echter vraag ik me nu af of het toevallig ook mogelijk is ergens een ssl certificaat te maken voor mijn jabber server.
en tevens ook een voor men webmin server en wie weet in de toekomst ook nog voor irc.
graag hoor ik of ik op de een of andere manier dat ook ergens kan doen dan wel met de generator certbot-auto van letsencrypt.org certificaten kan maken voor andere servers dan men website
groeten: peter

sorie voor de schrijffouten maar ik heb deceleksie.

ik gebruik debian linux met kernel 2.6.686

2 Laatst bewerkt door devtroll (08 Nov 2016 09:02:26)

Re: free tls/ssl

https://maikel.tiny-host.nl/it/letsencrypt.php Enjoy.

Je kan een vhost configuratie maken die luistert naar alle a-records waarvan jij een TLS certificaat wil. Staan de certificaten op een andere server, dan kan je de TLS certificaten overtrappen met een rsync script. Deze Ansible code staat ergens in productie, volgens mij geeft het je een idee wat je kan doen.
Op de backend

     - name: Create user Letsencrypt
       user: name=letsencrypt comment="Letsencrypt user" shell=/bin/bash

     - name: "Setup Letsencrypt authorized_key file"
       authorized_key: user=letsencrypt key="{{item}}"  manage_dir="yes" state=present
       with_file:
           - files/letsencrypt.pub

     - name: Set permissions on /etc/letsencrypt structure
       file: path="/etc/letsencrypt" owner=letsencrypt group=letsencrypt mode=0770 state=directory

     - name: Set groups for dovecot+postfix
       user: name={{item}} groups=letsencrypt append=yes
       with_items:
           - dovecot
           - postfix


  - name: Restart dovecot because of new certifcate
     cron: name="Restart dovecot because of new certifcate"  hour="09" minute="00" weekday="01"
           user="root" job="/etc/init.d/dovecot restart"
           cron_file=01_restart_dovecot

   - name: Restart postfix because of new certifcate
     cron: name="Restart postfix because of new certifcate"  hour="09" minute="00" weekday="01"
           user="root" job="/etc/init.d/postfix restart"
           cron_file=02_restart_postfix

Op de load balancer, maak je een dir aan onder de LE dir en hier in genereer je weer een ssh key zonder paswoord:

  - name: Letsencrypt mail certificates
     cron: name="Letsencrypt mail certificates"  hour="08" minute="00" weekday="01"
           user="root" job="rsync -Lavz -e 'ssh -i /etc/letsencrypt/ssh/id_rsa' /etc/letsencrypt/live/example.network letsencrypt@examplel:/etc/letsencrypt/live"
           cron_file=01_rsync_mail_ssl_cert state=present

Voordeel van deze setup is, dat de web backend de LE certificaten gepushed krijgt, zonder dat zij toegang heeft tot andere certificaten. Ik heb voor push gekozen en niet pullen, omdat de Proxy/Loadbalancer minder attack surface heeft, dan zeg maar een web-backend met Wordpress websites.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: free tls/ssl

devtrol als eerste bedankt voor uw reactie.
ik heb er even over heen ge keken en wat ik er uit op maak is dat je via de door u voor gestelde oplossing je een proxy server maakt.
dit zou voor webmin misschien nog wel kunnen werken maar voor bv jabber niet.
ik ga dus ook nog even afwachten of er nog andere oplossingen ook worden genoemd.

groeten: peter

sorie voor de schrijffouten maar ik heb deceleksie.

ik gebruik debian linux met kernel 2.6.686

4

Re: free tls/ssl

peter_jenp schreef:

echter vraag ik me nu af of het toevallig ook mogelijk is ergens een ssl certificaat te maken voor mijn jabber server.
en tevens ook een voor men webmin server en wie weet in de toekomst ook nog voor irc.
graag hoor ik of ik op de een of andere manier dat ook ergens kan doen dan wel met de generator certbot-auto van letsencrypt.org certificaten kan maken voor andere servers dan men website

Let's encrypt geeft gewoon standaard-certificaten uit die overal voor te gebruiken zijn. Het forum van de community zijn bovenstaande vragen al eens langs gekomen https://community.letsencrypt.org/search?q=jabber. Meer specifiek: https://community.letsencrypt.org/t/tut … crypt/7320 Dat is voor jabber, maar met wat spelen is dit ook te doen voor webmin, irc, mail etc.
Punt is dat het certificaat "maar" 90 dagen geldig is en dus vernieuwd moet worden. Daar moet je dan nog een elegante oplossing voor verzinnen.

-------------------------------------------------
Fedora 25 met Gnome 3
CentOS 7 als server

5 Laatst bewerkt door devtroll (08 Nov 2016 15:03:12)

Re: free tls/ssl

zoiets?

#Ansible: Renewal of quassel SSL pem files 
00 5 01 * * root cat /etc/letsencrypt/live/irc.exampel.nl/fullchain.pem /etc/letsencrypt/live/irc.example.nl/privkey.pem >/srv/quassel/quasselCert.pem >>/dev/null
#Ansible: Restart quassel after replacing pem files
10 5 01 * * root systemctl restart quasel
ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."