voraussetzungen für import/installation von zertifikat

[michaa7]

Hi,

ich administriere (für meinen in der Schweiz lebenden und dort selbständig als Physiotherapeut arbeitenden Bruder) eine hier in Deutschland gehostete Seite mit schweizer TLD .ch . In der Schweiz ist eine Umstellung für gewerbliche Seiten auf https noch nicht Pflicht, in soweit sehe ich die Zertifikatsfrage derzeit noch recht entspannt. Dennoch möchte ich sie angehen.

Der Hoster mit Sitz in Hamburg würde schon SSL-Zertifikate bereitstellen, allerdings zu einen Preis von 30€/Jahr. Bei der betreffenden Website ging es von Anfang an auch darum, zu möglichst geringen laufenden Kosten eine Webpräsenz zu erstellen. Das scheint mit 12€ für den Registrar und einen Anteil aus ca. 12€ Hostinggebühr auch gelungen. Nun jedes jahr erneut für ein Zertifikat zu zahlen, noch dazu in der Größenordnung erscheint mir für den Zweck völlig unangemessen.

Daher möchte ich nun verstehen welche Voraussetzungen erfüllt sein müssen, damit ich für eine ch-Domain, die ich über einen schweizer Registrar eigenständig verwalte bei meinen Hoster hier in Deutschland (oder falls ich diesen aus oben genannten Gründen wechsle auch in der Schweiz) ein selbst erstelltes Zertifikat (letsencrypt) importieren bzw installieren kann. Ich habe bei meinem derzeitigen Hoster keinen vollen root Zugriff, kann allerdings ausser auf /html noch auf eine Anzahl weiterer (Debian?-) Verzeichnissse zugreifen.

Nun die konkretere Frage: Wohin und wie ließe sich ein selbst erstelltes Zertifikat in einen Webspace ohne vollen Rootzugriff installieren/importieren?

[bluestar]

Auch wenn du dich nicht darüber freuen wirst, aber es reicht nicht das Zertifikat irgendwo in das Dateisystem zu kopieren, es muss dem Webserver-Programm ja auch bekanntgemacht werden.

[pgs]

...wobei das nicht so kompliziert ist. Die Doku von Apache hilft da weiter.

[DeletedUserReAsG]

… wozu man wiederum Zugriff auf die Configs des httpd haben muss, was der Threadstarter explizit nicht hat. Wenn die Gebühren für das Zertifikat bei dem Anbieter nicht akzeptabel sind, wird wohl als einzige Möglichkeit bleiben, einen anderen Anbieter zu suchen. Ob sich allerdings einer findet, der sowas für eine Münze im Monat anbietet, ist eher fraglich.

[habakug]

Hallo!

Hier ist wohl das lokale Erstellen der Zertifikate gemeint. Man kann das Skript dazu im manuellen Modus aufrufen:

Code: Alles auswählen

# letsencrypt --rsa-key-size 4096 -a manual certonly

Nach Eingabe der Daten bleibt das Skript mit der Ausgabe einiger kryptischer Daten stehen. Jetzt nicht die Eingabetaste drücken!
Man erstellt (z.B. per FTP) auf dem Webroot des Servers den Ordner .well-known/ und den Unterordner acme-challenge. In dem Unterodner wird eine Datei mit dem langen kryptischen Namen aus der Ausgabe des Skriptes und dem darunter angegebenen kryptischen Inhalt erstellt. Klar das hier öffentliche Leserechte eingeräumt werden müssen. Letsencrypt greift auf diese Datei zu und die Zertifikate werden lokal im Ordner /etc/letsencrypt/ abgelegt. Die Provider bieten meist ein Webinterface an, in das man die Certs und Keys werfen kann.

Gruss, habakug

edit: /Quote-Tag/Code-Tag/

[DeletedUserReAsG]

Hier ist wohl das lokale Erstellen der Zertifikate gemeint.

Ich denke nicht:

Daher möchte ich nun verstehen [wie ich] ein selbst erstelltes Zertifikat (letsencrypt) importieren bzw installieren kann

[michaa7]

Hallo!

Hier ist wohl das lokale Erstellen der Zertifikate gemeint.

Möglicherweise. Ich bin mir noch nicht sicher ob ich die von dir beschriebene Vorgehensweise richtig verstanden habe. Muss ich mal drauf rumkauen ... und ausprobieren.

Muss dazu nicht letsencrypt hosterseitig installiert sein? Wenn das Ausführen eines Scripts nach dem Hochladen reichen sollte müsst ich nur abklären, ob ich so ohne weiteres ein script ausführen kann. Ich administriere den Webauftritt bislang nur über (s)ftp und Plesk. Ob ich per ssh draufkomme (was wohl zum ausführen eines Scripts Voraussetzung wäre) muss ich erst mal nachschauen, hatte ich bisher keinen Bedarf. Aber ich verstehe deine Beschreibung so, dass das dann wohl reichen würde.

Die Provider bieten meist ein Webinterface an, in das man die Certs und Keys werfen kann.

Das wäre aber eine *alternative* Vorgehensweise, richtig?


Danke für deine Hinweise!

[michaa7]

Hier ist wohl das lokale Erstellen der Zertifikate gemeint.

Ich denke nicht:

Daher möchte ich nun verstehen [wie ich] ein selbst erstelltes Zertifikat (letsencrypt) importieren bzw installieren kann

Haaaaalt!

Wenn sich ein *eigenes* Zertifikat lokal erstellen ließe bin ich dabei. Ich will nur nicht meinen Hoster für ein Zertifikat bezahlen müssen. Wie ich *meines* da drauf bekomme ist mir egal, solange es meines ist.

[DeletedUserReAsG]

… in dem Fall hängt’s eindeutig davon ab, was der Anbieter vorsieht. Entsprechend wird genau dieser dir deine Frage eher beantworten können, als irgendjemand sonst hier.

[habakug]

Hallo!

Du installierst letsencrypt auf deinem Linux-Rechner und stößt von dort das Erstellen der Zertifikate an. Durch das Erstellen der Ordner und der Datei mit den langen kryptischen Namen beweist du die Herrschaft über das Webroot und alle sind zufrieden. Die Hoster, die keinen Zugriff auf den Webserver zulassen, bieten das Hochladen der Zertifikate über ihr Webinterface an. Sonst solltest du wechseln, das ist doch Vertrauenssache, du musst schon deine eigenen (selbsterstellten) Zertifikate verwenden können.

Gruss, habakug

[michaa7]

Hallo!

Du installierst letsencrypt auf deinem Linux-Rechner und stößt von dort das Erstellen der Zertifikate an.

Verstanden

Durch das Erstellen der Ordner und der Datei mit den langen kryptischen Namen beweist du die Herrschaft über das Webroot und alle sind zufrieden.

Ich gehe davon aus dass hier "Webroot" das Verzeichnis html/<meinWebauftritt> meint in welchem die Dateien für einen bestimmte Webauftritt/eine bestimmte Domain liegen. Dort liegt ja beisspielsweise auch die .htaccess, oder die Datei mit der ich Goggle analytics die Herrschaft über die betreffende Domain nachweise.

Die Hoster, die keinen Zugriff auf den Webserver zulassen, bieten das Hochladen der Zertifikate über ihr Webinterface an.

Ok, unter "Webserver" verstehst du hier *nicht* Apache, Ngix usw, sondern das oben genannte html Stammverzeichnis, richtig?

Sonst solltest du wechseln, das ist doch Vertrauenssache, du musst schon deine eigenen (selbsterstellten) Zertifikate verwenden können.

Genau weil ich das auch so sehe habe ich diesen thread erstellt, um zu verstehen ob es mit meinen derzeitigen hoster (mit dem ich an und für sich zufrieden bin) geht oder worauf ich ggf. bei einem Wechsel achten müsste.


Eine abschließende Frage habe ich aber noch: Bedarf es nicht auch eines Eingriffs in die config des Webservers (apache, Ngix, was auch immer) damit die Seite dann über https ausgeliefert wird. Diesen Zugriff habe ich definitiv nicht, zumindest nicht direkt. Über Plesk kann ich an ein paar Schrauben drehen, directory_listing an/aus usw.

[habakug]

Hallo!

Bedarf es nicht auch eines Eingriffs in die config des Webservers (apache, Ngix, was auch immer)

Ja klar. Aber darauf hat ja zumindest der Hoster Zugriff. Die Pfade zu den Zertifikaten/Keys müssen dem Webserver bekannt gemacht werden und die Konfiguration neu geladen werden. Wenn du also den Webserver(-Dienst) nicht neustarten kannst, bist du auf die Zusammenarbeit mit deinem Hoster angewiesen. Ich habe schon Plesk-Panels gesehen in denen eine Zertifikatverwaltung integriert war.

Gruss, habakug

[michaa7]

Ok, danke, das war alles recht informativ und ich glaube ich habe im Groben und auch weitgehend im Detail verstanden wie das mit eigenen Zertifikaten ablaufen könnte, bzw. wo genau die Hürden stehen, die ich oder eben mein Hoster nehmen muß.

Jetzt aber dennoch eine allerletzte Frage:
Gehen wir mal davon aus, das klappt so wie beschrieben ( ich erstelle die Dateien wie von dir beschrieben und lade sie in mein Webroot hoch), der Hoster greift entsprechend in die Webserver-config ein, meinetwegen gegen eine *einmalige* Gebühr. Nun hat das letsencrypt-Zertifikat ja nur eine begrenzte Laufzeit mit ggf. automatischer (?) Erneuerung. Was ist jetzt im hier beschriebenen Zenario die Konsequenz?

A) Ich *und* der Hoster, wir beide müssen dann jeweils erneut aktiv werden?
B) Nur ich muß aktiv werden, die Erneuerung des Zertifikats bedingt ein Neuerstellen der entsprechenden Datei in meinen Webroot, aber keine neuen Eingriffe an der Webserver-config durch den Hoster.
C) Niemand muß eingreifen, weil ???

[bluestar]

A) Ich *und* der Hoster, wir beide müssen dann jeweils erneut aktiv werden?
B) Nur ich muß aktiv werden, die Erneuerung des Zertifikats bedingt ein Neuerstellen der entsprechenden Datei in meinen Webroot, aber keine neuen Eingriffe an der Webserver-config durch den Hoster.
C) Niemand muß eingreifen, weil ???

Kurzform: A
Wenn das Zertifikat abläuft, dann musst du dich normalerweise um die Verlängerung kümmern und dann ist auch wieder dein Hoster gefragt, der das Zertifikat (neue Datei) einspielen muss.

[pgs]

… wozu man wiederum Zugriff auf die Configs des httpd haben muss, was der Threadstarter explizit nicht hat. Wenn die Gebühren für das Zertifikat bei dem Anbieter nicht akzeptabel sind, wird wohl als einzige Möglichkeit bleiben, einen anderen Anbieter zu suchen. Ob sich allerdings einer findet, der sowas für eine Münze im Monat anbietet, ist eher fraglich.

Ups, das habe ich übersehen, sorry!