Ich habe eine kurze Frage: Kann man bei Keyhelp irgendwo die Gültigkeit der bestehenden Letsencrypt-Zertifikate für die einzelnen Domains einsehen? Hintergrund: Ich betreibe einen Backup-Server, der logischerweise aufgrund der fehlenden Domainauflösung nicht direkt seine Zertifikate verlängern kann.
Wüsste ich aber, wann wieder aktualisiert wird, könnte ich die Zertifikate der betreffenden Domains einfach vom produktiven Server auf den Backupserver rüberschieben. Also gibt es da eine Möglichkeit?
Bye Mike
Gültigkeit Letsencrypt Zertifikate [GELÖST]
Re: Gültigkeit Letsencrypt Zertifikate [GELÖST]
Lets Encrypt Zertifikate sind allgemein immer maximal 90 Tage gültig.
Nach 60 Tagen beginnt KeyHelp die Zertifikate zu aktualisieren.
Du kannst mit folgendem Befehlen ermitteln, wie lange ein Zertifikat noch gültig ist:
Von einem externen System:
Oder auf dem Server selbst:
Die Let's Encrypt Zertifikate liegen bei KeyHelp unter:
Nach 60 Tagen beginnt KeyHelp die Zertifikate zu aktualisieren.
Du kannst mit folgendem Befehlen ermitteln, wie lange ein Zertifikat noch gültig ist:
Von einem externen System:
Code: Select all
echo | openssl s_client -servername <DOMAIN_NAME> -connect <DOMAIN_NAME>:443 2>/dev/null | openssl x509 -noout -datesOder auf dem Server selbst:
Code: Select all
openssl x509 -noout -dates -in <PFAD_ZUM_ZERTIFIKAT>Code: Select all
/etc/ssl/keyhelp/letsencrypt/<USER>/<DOMAIN>/cert.pemMit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Gültigkeit Letsencrypt Zertifikate
Danke für die Antwort. Habe ich erst jetzt mitbekommen, dass jemand auf meinen Thread geantwortet hat 
Vielleicht wäre es keine schlechte Idee, die Restlaufanzeige mit in Keyhelp zu integrieren. Zum Beispiel macht das Froxlor, das ist mein Adminpanel vor Keyhelp gewesen.
Ansonsten nochmal Daumen hoch für Keyhelp. Ist echt super, dass man damit nicht nur seine Domains und Datenbanken perfekt organisieren kann, sondern aus einem Minimalsystem auf Knopfdruck einen kompletten LAMP-Server mit Mail- und PHP-Verwaltung machen kann...
Bye, Mike
Vielleicht wäre es keine schlechte Idee, die Restlaufanzeige mit in Keyhelp zu integrieren. Zum Beispiel macht das Froxlor, das ist mein Adminpanel vor Keyhelp gewesen.
Ansonsten nochmal Daumen hoch für Keyhelp. Ist echt super, dass man damit nicht nur seine Domains und Datenbanken perfekt organisieren kann, sondern aus einem Minimalsystem auf Knopfdruck einen kompletten LAMP-Server mit Mail- und PHP-Verwaltung machen kann...
Bye, Mike
Re: Gültigkeit Letsencrypt Zertifikate
Was meinst du damit? KeyHelp's Let's Encrypt Zertifikate laufen vollständig autonom, was würde es einem Benutzer bringen, wenn er wüsste das Let's Encrypt Zertifikat noch 60 Tage gültig ist? Es wird ohnehin automatisch 30 Tage vorher aktualisiert. Sollte das aus irgendeinem Grund fehlschlagen, stehen diverse Benachrichtigungsoptionen zur Verfügung - unter Konfiguration -> SSL/TLS-ZertifikateVielleicht wäre es keine schlechte Idee, die Restlaufanzeige mit in Keyhelp zu integrieren.
Für normale Zertifikate wird die Restlaufzeit unter Sicherheit -> SSL/TLS Zertifikate angezeigt. Benachrichtigungen lassen sich hier ebenso wie oben beschrieben festlegen.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Gültigkeit Letsencrypt Zertifikate
Also einmal wäre es rein informatorisch. In meinem Fall kommt hinzu, dass ich dann besser im Blick hätte, wenn die Erneuerung der Zertifikate ins Haus steht. Ich hatte ja schonmal geschrieben, dass ich einen zweiten Server mit gespiegeltem System betreibe und dort einfach die Ordner mit den Zertifikaten hineinlege. Ab und an (bei Wartungen etc) schalte ich dann einfach um. Wenn nun die Zeit der Erneuerung gekommen ist, würde Keyhelp auf diesem Server ebenfalls versuchen, die Zertifikate zu erneuern, was natürlich fehlschlagen wird, da die Domains in diesem Moment auf dem anderen Server liegen.Alexander wrote: ↑Wed 4. Nov 2020, 08:48Was meinst du damit? KeyHelp's Let's Encrypt Zertifikate laufen vollständig autonom, was würde es einem Benutzer bringen, wenn er wüsste das Let's Encrypt Zertifikat noch 60 Tage gültig ist?Vielleicht wäre es keine schlechte Idee, die Restlaufanzeige mit in Keyhelp zu integrieren.
Ich hab da auch die Befürchtung, dass nach X Fehlversuchen die Ausgabe von Zertifikaten erst einmal gesperrt wird. Oder prüft Keyhelp vorher selber, ob der entsprechende Domainordner auf dem Server auch wirklich erreichbar ist? So könnte ich vorher reagieren und zum Beispiel erstmal den Server abschalten.
Bye Mike
Re: Gültigkeit Letsencrypt Zertifikate
Dafür führt KeyHelp, bevor es die Let's Encrypt Server kontaktiert eine Prüfung durch, ob die fragliche Domain auch auf den eigenen Server zeigt. Sollte das nicht der Fall sein, erhält man zwar eine Fehlermeldung, aber so läuft man nicht in irgendwelche Raid-Limits der Let's Encrypt Server.Ich hab da auch die Befürchtung, dass nach X Fehlversuchen die Ausgabe von Zertifikaten erst einmal gesperrt wird. Oder prüft Keyhelp vorher selber, ob der entsprechende Domainordner auf dem Server auch wirklich erreichbar ist?
KeyHelp versucht trotzdem jeden Tag erneut, die Zertifikate zu beziehen, solange der ssl-maintenance Job läuft (Siehe Wartungsintervalle).
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Gültigkeit Letsencrypt Zertifikate
Oh, Perfekt. Dann hat sich das im Prinzip schon erledigt.
Nur eine kurze Frage noch: Wenn ich 2Faktor nutze, unter welchem Pfad speichert Keyhelp dann die Daten/Schlüssel vom Authenticator? Habe in der Anleitung dazu nichts finden können...
Bye Mike
Nur eine kurze Frage noch: Wenn ich 2Faktor nutze, unter welchem Pfad speichert Keyhelp dann die Daten/Schlüssel vom Authenticator? Habe in der Anleitung dazu nichts finden können...
Bye Mike
Re: Gültigkeit Letsencrypt Zertifikate
Diese sind mit starker AES Verschlüsselung in der Datenbank (`keyhelp`.`users_two_factor_auth`) gespeichert.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
