1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Let's Encrypt: Gratis-Zertifikate ab…

Wie funktioniert die Auto-Konfiguration?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie funktioniert die Auto-Konfiguration?

    Autor: Vanger 17.06.15 - 13:55

    Habe kurz gesucht, bin aber nicht fündig geworden. Weiß jemand wie die Auto-Konfiguration funktioniert? Nachdem weder Apache noch ngix irgendwelche Verzeichnisstrukturen vorschreiben und wohl jeder Admin ein leicht abweichendes Konzept verwendet, frage ich mich, wie der Let's Encrypt Client die Auto-Konfiguration hinbekommen möchte ohne dieses individuelle Konfigurationskonzept zu zerstören.

  2. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: r3bel 17.06.15 - 14:09

    Auf ihrem Github-Account kann man den Quellcode dazu anschauen. Ist ein Python-Skript das die Zertifikate "bestellt", herunterlädt und die Apache-Konfiguration entsprechend anpasst.

  3. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: Vanger 17.06.15 - 14:17

    Ja, das habe ich gesehen, nur sind das ein paar Zeilen mehr Code als ich lesen wollte. Darum frage ich ja, evtl. hat sich das hier ja schon mal jemand angeschaut und ist so nett und erklärt es kurz. Habe auch in docs/ geschaut, da wird aber vermutlich erst durch das Makefile was lesbares draus...

  4. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: muhpirat 17.06.15 - 14:57

    Lets Encrypt ist ja für Privat Personen gedacht bzw. kleine Firmen. Diese werden mit hoher wahrscheinlichkeit den server via apt-get etc. installiert haben. Dabei gibt es eine "feste" Verzeichnisstruktur.

    -MuhMuh

  5. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: Vanger 17.06.15 - 15:12

    Wie häufig hast du schon mal einen Webserver installiert? Da ist überhaupt nichts vorgegeben. Bei Debian liegen die Virtual Hosts unter /etc/apache2/sites-available und können mit a2ensite aktiviert werden. Das ist die einzige Vorgabe. Allein da gibt es schon keine Konvention wie sich die Benennung von Virtual Hosts für HTTP und HTTPS unterscheiden. Bei anderen Distributionen sieht das teilweise komplett anders aus.

    Auch ist nirgends definiert wohin die Zertifikate und Schlüssel gespeichert werden. Unter /etc/ssl/certs und /etc/ssl/private haben sie genau genommen nichts zu suchen, an einigen Stellen wird von einem selbst zu erstellenden /etc/ssl/localcerts gesprochen, wieder andere packen die Zertifikate für den Webserver auch zum Webserver - also bspw. nach /etc/apache2/ssl. Versucht Let's Encrypt das zu erraten oder speichert es die Daten einfach in eine eigene Struktur?

    Darüber, dass die httpdocs (die Let's Encrypt für die automatische Verifikation kennen muss) immer wo anders liegen brauchen wir gar nicht erst zu reden... Einige legen unter /var/www Verzeichnisse an, wieder andere unter /var/www/html, einige unter /srv/www... Da gibt es überhaupt keine Konventionen. Und dann liegt die Konfiguration eigentlich nie in einer einzelnen Datei, Apache propagiert recht intensiv die Verwendung von Includes.

    Let's Encrypt hat eigentlich nur drei Möglichkeiten:
    (1) Sie nehmen irgend eine Struktur an die nur von einem Bruchteil der Nutzer so verwendet wird und das ganze Projekt geht in die Hose.
    (2) Sie haben einen extrem umfangreichen Parser für die Apache-Konfiguration geschrieben. Das glaube ich aber kaum, so umfangreich wirkt der Code nicht.
    (3) Der Client könnte auch 100 Kommandozeilen-Parameter oder eine Konfigurationsdatei akzeptieren in der all das konfiguriert werden muss.

    Mich würde interessieren was es nun ist...

  6. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: muhpirat 17.06.15 - 15:35

    Natürlich meinte ich damit, das vorgegeben ist, wo die configs liegen. Nicht wo die Zertifikate etc. liegen.

    Eigentlich müsste man nur die config nach den pfaden durchsuchen. Was an sich nicht arg viel Aufwand ist.

    -MuhMuh

  7. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: stoneburner 17.06.15 - 16:19

    lt. deren aussage setzen sie ubuntu für die auto config voraus - was ja kein problem ist, das tool liefert die zertifikate auch so, ohne sie installieren zu wollen, wenn man das nicht default mässig installiert hat, dann muss man die zertifikate halt selbst an den zielort kopieren und die webserver selbst konfigurieren

  8. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: tingelchen 17.06.15 - 16:23

    Die aktiven Seiten liegen bei auf Debian basierenden Distributionen üblicherweise unter /etc/apache2/sites-enabled und nicht sites-available ;) Das ist allerdings lediglich eine Sache der Konfiguration des Apache.

    Das gleiche gilt auch für alles andere. Wo die Zertifikate liegen, die Seiten etc. Selbst die Apache Config muss nicht mal unter /etc/apache2 liegen ;)


    Daher kann eine Autokonfiguration nur dann funktionieren, wenn diese eine Konfigurationsdatei benutzt. Denn nicht nur die vielen unterschiedlichen Möglichkeiten der Verzeichnisstrukturen ist ein Problem, sondern auch ob jede Seite ein eigenes Zertifikat bekommt, man ein wildcard Zertifikat hat oder ein Multidomain Zertifikat benutzt.
    Manche lässt sich erraten, in dem man sich die Konfiguration des V-Host ansieht, anders nicht.
    Ich habe mir das Script nicht angesehen. Ist auch noch zu früh für sowas :)

  9. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: Nigcra 17.06.15 - 17:04

    Vanger hat völlig recht, das Thema ist zu komplex, um es über ein noch so komplexes Script abwickeln zu können. Bei so manchem VirtualHost-System ist Konfiguration sehr verzweigt, da ist der Ort wo die Daten liegen noch das kleinste Problem.

  10. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: tingelchen 17.06.15 - 17:40

    Das geht schon. Das Script muss halt mindestens wissen wo sich die aktiven Seiten befinden. Dort ist ja festgehalten wo sich die Zertifikate befinden. Zwangsweise :) Ab da kann man schon einiges automatisch ablaufen lassen. Welcher Typ von Zertifikat benutzt wird, kann aus dem Zertifikat ausgelesen werden, inkl. der Einstellungen. Bei Multidomain Zertifikaten kann man erkennen welche Seitenkonfigurationen zu diesem Zertifikat gehören in dem man vorab alle Konfigurationen auswertet und die Angaben mit einander abgleicht.

    Gilt natürlich nur in soweit, wie das Script mit den verschiedenen Konfigurationen der verschiedenen Web Server umgehen kann. Auch die Version der Web Server spielt eine Rolle. Gewisse Einstellungen können hinzu kommen oder werden entfernt. Hier sehe ich eigentlich das größte Problem.

  11. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: ikhaya 17.06.15 - 19:26

    Warum sollte man dem Tool die Pfade nicht mitgeben können auf der Kommandozeile?
    Es könnte auch fragen wo die Sachen liegen wenn die Daten nicht automatisch gefunden werden.
    Also unüberbrückbare Probleme seh ich da nu nicht

  12. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: slashwalker 17.06.15 - 20:31

    muhpirat schrieb:
    --------------------------------------------------------------------------------
    > Natürlich meinte ich damit, das vorgegeben ist, wo die configs liegen.
    > Nicht wo die Zertifikate etc. liegen.
    >
    > Eigentlich müsste man nur die config nach den pfaden durchsuchen. Was an
    > sich nicht arg viel Aufwand ist.
    >
    > -MuhMuh

    Ich hoffe auf eine Art "dry run" wo der letsencrypt Client nur das Zertifikat holt und in Pfad XYZ speichert und die Griffel von meiner Konfiguration lässt.

  13. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: ikhaya 17.06.15 - 21:11

    https://github.com/letsencrypt/lets-encrypt-preview/pull/232 vielleicht?

  14. Re: Wie funktioniert die Auto-Konfiguration?

    Autor: slashwalker 17.06.15 - 22:16

    ikhaya schrieb:
    --------------------------------------------------------------------------------
    > github.com vielleicht?

    Japp, das klingt gut. Mal mein aktuelles Setup auf einem AWS EC2 nachbilden und dort mal testen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Analytic Company GmbH, Hamburg
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr, Düsseldorf, Dortmund, Duisburg
  3. STRABAG AG, Stuttgart
  4. ROSE Systemtechnik GmbH, Hohenlockstedt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 19,49€
  2. 79,99€ (Release 10. Juni)
  3. (u. a. Anno 2205 Ultimate Edition für 11,99€, Rayman Legends für 4,99€, The Crew 2 - Gold...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Summit Lite im Test: Auch Montblancs günstige Smartwatch ist zu teuer
Summit Lite im Test
Auch Montblancs "günstige" Smartwatch ist zu teuer

Montblancs Summit Lite ist eine Smartwatch für Fitnessbegeisterte, die nach echter Uhr aussieht. Den Preis halten wir trotz hervorragender Verarbeitung für zu hoch.
Ein Test von Tobias Költzsch

  1. Soziales Netzwerk Bei Facebook entsteht eine Smartwatch im Geheimen
  2. Wearable Amazfit bringt kompakte Smartwatch für 100 Euro
  3. T-Touch Connect Solar Tissots Smartwatch ab 935 Euro in Deutschland verfügbar

No-Regret-Infrastruktur: Wasserstoffnetze für Stahl und Chemie
No-Regret-Infrastruktur
Wasserstoffnetze für Stahl und Chemie

Die Organisation Agora Energiewende schlägt vor, sich beim Bau von Wasserstoffleitungen und Speichern zunächst auf wenige Regionen zu konzentrieren.
Von Hanno Böck

  1. Brennstoffzellenfahrzeug Fraunhofer IFAM entwickelt wasserstoffspeichernde Paste
  2. Wasserstoff Lavo entwickelt Wasserstoffspeicher fürs Eigenheim
  3. Energiewende EWE baut einen Wasserstoffspeicher bei Berlin

Börse: Was zur Hölle ist ein SPAC?
Börse
Was zur Hölle ist ein SPAC?

SPACs sind die neue Modewelle an der Börse: Firmen, die es eigentlich nicht könnten, gehen unter dem Mantel einer anderen Firma an die Börse. Golem.de hat unter den Mantel geschaut.
Eine Analyse von Achim Sawall

  1. Wallstreetbets Trade Republic entschuldigt sich für Probleme mit Gamestop
  2. Tokyo Stock Exchange Hardware-Ausfall legte Tokioter Börse lahm