k-ist-k
28.12.2018
view2928
view12
0
Goto Top

Lets Encrypt auf RaspberryPi - Raspbian GNU Linux 9.6

gelöstFrageSicherheitVerschlüsselung, Zertifikate
Hallo,

bin gerade dabei zum ersten mal, Lets Encrypt zu testen/probieren.
Dazu gibts einen haufen Blogs/Anleitungen ...

Allen voran sicherlich am besten zu nutzen:
CertBot von Lets Encrypt

Es läuft der Apache Server auf dem gleichen Raspberry wie auch der CertBot

Gleich beim ersten Befehl
sudo apt-get install python-certbot-apache -t stretch-backports

kommt folgender Fehler:
certbot

sudo apt-get update && apt-get upgrade
(hat nichts gebracht)

Da viele Anleitungen diesen Befehl nutzen:
sudo apt-get install python-certbot-apache

Habe ich das probiert, hat auch funktioniert.

Dann folgenden Befehl, zum ausstellen des Zertifikats:
sudo certbot --apache

lets_encrypt
Leider bricht das ab.
Und mit diesem Fehler, finde ich nichts brauchbares

Hab auch diese Anleitung gefunden,
wo ich dachte die hilft
Anleitung Lets Encrypt

Da scheitere ich aber auch.
Beim Schritt Update und Install

fehler
Kann aber sein, das der Fehler nur durch ubnt kommt.
ubnt ist Unifi Controller.
Ein Management Software zum verwalten von Unifi Wlan Geräten

Habt ihr eine Ahnung was ich falsch mache,
oder habt ihr einen Anhaltspunkt für mich ?


Lg K
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 396835

Url: https://administrator.de/contentid/396835

Ausgedruckt am: 25.11.2024 um 15:11 Uhr

12 Kommentare
Neuester Kommentar
Goto Top
certifiedit.net
certifiedit.net 28.12.2018 um 17:37:11 Uhr
Goto Top
Hallo K,

1. prüfe ob LE auch auf ARM CPUs geht
2. Prüfe ob eine Software vom System sich mit LE beisst.
3. packe logs und codes nicht per Bilder, sondern als Code hier rein

VG
NetzwerkDude
Lösung NetzwerkDude 28.12.2018 aktualisiert um 17:53:46 Uhr
Goto Top
Hab leider meinen Pi gerade daheim, kann daher nicht nachstellen - aber:
Glaube das "python-certbot-apache " paket ist älter bei Raspian und nutzt nur die TLS-SNI-01 Challenge

Hier ist ein Workaround beschrieben:
https://community.letsencrypt.org/t/solution-client-with-the-currently-s ...

Der Befehl müsste dann so lauten:
sudo certbot --authenticator webroot --installer apache --webroot-path <pfad_zum_verzeichnis_der_webseite> -d <deinedomain>

Da du scheinbar zwei Domains hast, müsstest du den befehlt 2x laufen lassen, mit den entsprechenden pfaden / domains
aqui
aqui 28.12.2018 um 18:20:47 Uhr
Goto Top
Hier ist eine recht gute Anleitung wie es wasserdicht und fehlerfrei funktioniert:
https://bayton.org/docs/nextcloud/installing-nextcloud-on-ubuntu-16-04-l ...
Kapitel 4.2.1 !
K-ist-K
K-ist-K 28.12.2018 um 18:35:45 Uhr
Goto Top
Hallo,

hab mir die Anleitung angesehen und auch probiert.
Weiß aber nicht ob es daran liegt, das ich ein alten Certbot habe.
Kann ja nicht sein, das ich der einzige mit einer Raspian Version bin, in der aktuellen Version.

Hier der Fehler von meinen zwei getesteten Befehlen
 sudo certbot --authenticator webroot --installer apache --webroot-path /etc/apache2 -d blog.xxxxx.com
 sudo certbot --authenticator webroot --installer apache --webroot-path /var/www/html -d blog.xxxxx.com

da ich nicht ganz sicher bin, welcher Pfad zum Verzeichnis gemeint ist.
Habe ich Apache2 Verzeichnis genommen und den Pfad zur WordPress

fehler2

Hallo @certifiedit.net
Frage 1: laut den Youtube Videos und Blogs JA. Raspberry und LE ist kompatibel
Frage 2: wie genau soll ich das prüfen ? (hab nichts extravagantes drauf, apache,php,mysql,wordpress)
Frage 3: finde es schöner, wenn man ein Bild mitschickt und übersichtlicher.


Lg
NetzwerkDude
NetzwerkDude 28.12.2018 aktualisiert um 18:54:37 Uhr
Goto Top
Der Webroot Path ist der Pfad den Apache liefert wenn man die domain aufruft, die Apache konfig sieht bei dir ja vermutlich so (oder so ähnlich aus)

<VirtualHost *:80>
        ServerName maxisforum.dyndns.org        
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/maxisforum/
        <Directory /var/www/maxisforum/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>
        ErrorLog /var/log/apache2/error.log
        LogLevel warn
        CustomLog /var/log/apache2/access.log combined
        ServerSignature On
</VirtualHost>

Den ServerName und den DocumentRoot gibts du an das script weiter, also so:
sudo certbot --authenticator webroot --installer apache --webroot-path /var/www/maxisforum/ -d maxisforum.dyndns.org

Edit:
Der zweite Vorschlag aus dem Link sollte auch gehen:
sudo certbot --authenticator standalone --installer apache -d <domain> --pre-hook "service apache2 stop" --post-hook "service apache2 start"
K-ist-K
K-ist-K 28.12.2018 aktualisiert um 19:29:39 Uhr
Goto Top
hab jetzt den Versuch von @aqui versucht:

in das Home Verzeichnis von meinen User gewechselt und das heruntergeladen:
sudo wget https://dl.eff.org/certbot-auto && sudo chmod a+x certbot-auto

Anschließend folgendes:
sudo ./certbot-auto --apache --agree-tos --rsa-key-size 4096 --email xxxxx@hotmail.com --redirect -d blog.xxxx.com
firewall

Es meldet einen Fehler, als wäre eventuell die Firewall schuld.
Aber das denke ich nicht:
fw

@NetzwerkDude
hab die .conf Datei geprüft und das passt mit dem Befehl, was ich auch probiert habe:
sudo certbot --authenticator webroot --installer apache --webroot-path /var/www/html -d blog.xxxxx.com

Einen Fehler habe ich schon gefunden.
Ich hatte Port 80 deaktiviert gehabt.
Versteh nicht ganz warum Port 80 gebraucht wird.

Mein 443 Port ist auch nicht 443, sondern ein anderer.
Kann das Probleme machen ?
K-ist-K
K-ist-K 28.12.2018 aktualisiert um 20:27:01 Uhr
Goto Top
Hier noch weitere Infos, vllt hilft es
conf

im Log
/var/log/letsencrypt/letsencrypt.log

sehe ich jetzt nicht wirklich was.
Sehe das öfters das Wort "nginx" bei Server vorkommt,
obwohl ich einen Apache habe
nginx

Und im .log sehe ich das immer Zertifikate angelegt werden,
trotz Fehler beim erzeugen.
ca
NetzwerkDude
Lösung NetzwerkDude 28.12.2018 um 22:57:09 Uhr
Goto Top
Mein 443 Port ist auch nicht 443, sondern ein anderer.
Kann das Probleme machen ?

Ja, für TLS-SNI-01 braucht du Port 443 - d.h. auch von außen muss es 443 sein, das auf den Raspi 443 NATet --> dann sollte zumindest die standalone variante funktionieren.

Bei der HTTP Challange muss es Port 80 sein
aqui
aqui 29.12.2018 um 22:06:14 Uhr
Goto Top
Es meldet einen Fehler, als wäre eventuell die Firewall schuld.
Steht der RasPi mit nacktem A... im Internet ?? Ansonsten ist doch die Firewall gar nicht aktiv wenn du es nicht willentlich aktivierst ?!
Vielleicht einfach mal abschalten, Zertifizierung starten und nachher wieder aktivieren.
Normal klappt diese Vorgehensweise sofort auf Anhieb. Wenn man denn die richtigen Ports durchlässt....
K-ist-K
K-ist-K 30.12.2018 um 23:38:58 Uhr
Goto Top
wie ich jetzt schon gelesen habe und mir auch @NetzwerkDude geschrieben hast,
dürfte es an den Ports liegen.
Ich hab zwar Port 80 zum test wieder freigeschalten,
aber Port 443 habe ich umgebogen.

Finde es sehr schade,
das man Port 80/443 zwingend nehmen muss.
Was hat das für einen Grund.
Ich will eigentlich nicht 80/443 nutzen : /

Werde das die Tage mal probieren
und hier mich melden, wenn es geht.
Zur Zeit nur bisschen Stress.

schöne Feiertage : )
certifiedit.net
certifiedit.net 31.12.2018 um 00:26:32 Uhr
Goto Top
Blöde Standards! Daran liegt es. Ich mag das auch nicht, wenn die Schrauben problemlos auf die entsprechenden Schrauben passen - im Ernst: Was bringt einem das, wenn man dann jedes mal Probleme mit Routings bzw Firewalls hat?

VG
K-ist-K
K-ist-K 02.01.2019 um 01:47:58 Uhr
Goto Top
Hallo,

wie ihr es euch sicher schon denken könnt.
Klappt es jetzt.

Problem war das man wirklich Port 80 / 443 nehmen muss.
Nach der Umstellung, hat folgender Befehl funktioniert

sudo certbot --authenticator webroot --installer apache --webroot-path /var/www/html -d blog.xxxxx.com

Hab es noch nicht getestet.
Aber ich denke, es ging auch mit Port Umleitung.
Problem ist nur, das nicht alles automatisch angepasst wird.
Der Befehl bricht mit einen Fehler ab aber das Zertifikat wird erstellt.

Somit ist es im Bereich des möglichen, das es auch anders geht,
mit anderen Ports als mit den Standard Ports.

Danke euch allen, für die ganzen Tipps und Hilfen.


Lg K
gelöstFrageSicherheitVerschlüsselung, Zertifikate
Mehr von K-ist-KK-ist-KMS Power Automate (Desktop) Flow starten automatisiertK-ist-K - 10 KommentareK-ist-KDownload File per PowerShell (AGBs akzeptieren)K-ist-K - 12 KommentareK-ist-KOutlook - Informiere wenn eine Email nicht kommtK-ist-K - 4 KommentareK-ist-KWebseiten Diagram auslesen - EURIBORK-ist-K - 3 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 Kommentare