Let’s Encrypt mit All-inkl.com nutzen

Von Alexander|Dezember 7, 2015|18 Kommentare

Hier ein Tutorial wie man bei dem deutschen Provider All-Inkl.com ein HTTPS Zertifikat von Let’s Encrypt einspielen kann. Momentan gibt es leider noch keine automatisierte Funktion, dass das Zertifikat automatisch erneuert wird.Somit muss man alle 90 Tage das Zertifikat manuell aktualisieren. Ich hoffe das diese Funktion in Zukunft vielleicht eingebaut wird um auch anderen Benutzern die Möglichkeit zu geben ein HTTPS Zertifikat zu installieren.

Wichtig: Um ein SSL Zertifikat bei All-Inkl nutzen zu können, muss mindestens der Tarif PrivatPlus vorhanden sein.

Um das SSL Zertifikat unter Windows anzufordern bediene ich mich der Software Cygwin. Mit Cygwin lassen sich Computerprogramme, die üblicherweise unter Linux laufen auch auf Microsoft Windows betreiben. Nach der Installation startet man die Cygwin.bat und man kommt in eine Linux ähnliche Shell. Anschließend öffnet man folgende Seite und befolgt die dort beschriebenen Anweisungen.

Nach der erfolgreichen Erstellung bekommt man zwei Zertifikate die man anschließend im Webfrontend des KAS Login einfügen kann. Dazu geht man auf Domain -> Bearbeiten -> SSL Schutz bearbeiten“.

ssl

Update vom 25.03.2016

Mittlerweile ist es möglich direkt im KAS Login ein Let’s Encrypt Zertifikat auszustellen und dies automatisch verlängern zu lassen.

letsencrypt

Diesen Beitrag teilen:

18 Kommentare

  1. Geht übrigens erst ab dem Produkt Privat Plus

    1. Das stimmt natürlich. Erst mit dem Tarif Private Plus ist die SSL-Erweiterung vorhanden. Ich werde diese Zusatzinfo gleich mit aufnehmen. Danke

  2. KAS bietet eine API über die sich das automatisieren/skripten lassen sollte
    http://kasapi.kasserver.com/dokumentation/phpdoc/packages/API%20Funktionen.html

    Bin gerade dabei, mir das anzuschauen.
    Schöner wäre natürlich, wenn KAS direkten Support for LE hätte.
    Einfach mal dem Support ne E-Mail zukommen lassen. Wenn das genügend machen, tut sich ja vielleicht was.

    1. Mit dem Support habe ich bereits gesprochen und mir wurde gesagt das eine Entscheidung noch nicht getroffen wurde. Außerdem müsse man schauen in wie weit die Integration möglich ist.

      Warten wir einmal ab bis der Dienst final ist dann wird sich sicherlich etwas machen lassen. Das mit der API werde ich mir auch einmal anschauen. Danke für den Link.

  3. War einfacher als gedacht. Über das SOAP API klappt das einwandfrei. Im Anschluss findet ihr das Skript. Mal schauen ob der PHP Code durchgeht.

    Hab jetzt noch einen SSH key eingerichtet, so dass ich den webspace einfach per SSHFS mounten kann. Damit kann ich jetzt auf meinem RASPI vollautomatisch die Zertifikate erneuern und ins KAS laden.

    KasAuth(json_encode(array(
    ‚KasUser‘ => $kas_user,
    ‚KasAuthType‘ => ’sha1′,
    ‚KasPassword‘ => sha1($kas_pass),
    ‚SessionLifeTime‘ => $session_lifetime,
    ‚SessionUpdateLifeTime‘ => $session_update_lifetime
    )));

    foreach ($domains as $domain) {
    print „Processing $domain \n“;
    $Params = array(‚hostname‘ => $domain,
    ’ssl_certificate_is_active‘ => ‚Y‘,
    ’ssl_certificate_sni_key‘ => file_get_contents($certs . ‚/‘ . $domain . ‚/privkey.pem‘),
    ’ssl_certificate_sni_crt‘ => file_get_contents($certs . ‚/‘ . $domain . ‚/cert.pem‘),
    ’ssl_certificate_sni_bundle‘ => file_get_contents($certs . ‚/‘ . $domain . ‚/chain.pem‘),
    );
    $SoapRequest = new SoapClient($WSDL_API);
    $req = $SoapRequest->KasApi(json_encode(array(
    ‚KasUser‘ => $kas_user,
    ‚KasAuthType‘ => ’session‘,
    ‚KasAuthData‘ => $CredentialToken,
    ‚KasRequestType‘ => ‚update_ssl‘,
    ‚KasRequestParams‘ => $Params
    )));
    // sleep for a bit to avoid flood protection
    sleep(1);
    }
    } catch (SoapFault $fault) {
    trigger_error(„Fehlernummer: {$fault->faultcode},
    Fehlermeldung: {$fault->faultstring},
    Verursacher: {$fault->faultactor},
    Details: {$fault->detail}“, E_USER_ERROR);
    }

  4. War einfacher als gedacht. Über das SOAP API klappt das einwandfrei. Da die Kommentarfunktion den PHP Code zerschiesst, hab ich ihn unter http://paste.debian.net/343189/ abgelegt. Kann man sicherlich noch schön machen, aber die soweit tut’s erstmal.

    Hab jetzt noch einen SSH key eingerichtet, so dass ich den webspace einfach per SSHFS mounten kann. Damit kann ich jetzt auf meinem RASPI vollautomatisch die Zertifikate erneuern und ins KAS laden.

    1. Hallo Michael,

      könntest du das vollautomatische Skript mit dem SSHFS-Mount auch veröffentlichen?

    2. JA! Das würde mich auch interessieren.

    3. Danke für das Script!
      Jetzt müsste man nurnoch einbauen, dass das Script auch den FTP Upload, etc. erledigt 🙂

    4. @Alexander: Das Problem ist, dass All-Inkl wegen seiner eigenen Integration (die kommen soll, wenn Lets Encrypt nicht mehr Beta ist) die Zugriffe auf .well-known/acme-challeges nicht mehr zulässt. Da bekommt man immer eine leere Seite zurück. Deshalb schlägt die Authentifizierung immer fehl, egal ob per Skript oder manuell. Der Support kann dir aber Lets Encrypt Zertifikate einrichten.

      siehe https://netzklad.de/2015/12/lets-encrypt-im-shared-hosting/#comment-1392 und https://notizblog.tripax.de/2016/01/letsencrypt-funktioniert-derzeit-bei-all-inkl-com-nicht-mehr-frohes-neues-jahr/

  5. Ich habe den ganzen Tag herumexperimentiert und hatte eine theoretische Lösung. Nur konnte die Bestätigungsdatei nie von let’s encrypt erreicht werden. Auf Nachfrage habe ich erfahren, dass das nicht mehr geht, weil all-inkl.com sich schon auf die Unterstützung von let’s encrypt einstellt. Sobald die nicht mehr Beta sind, wird man die Zertifikate einfach per KAS einrichten können.

    1. Hallo Steffen,

      vielen Dank für diese Info! Ich hoffe, dass diese Funktion trotz Beta bald verfügbar sein wird, denn es ist nicht absehbar wie lange Let’s Encrypt Beta sein wird.

  6. @Steffen, setzt du evtl. rewriting ein? Z.B. musste ich für owncloud und roundcube explizit das rewriting abschalten für den .well-known Ordner.

    Siehe dazu auch
    http://trac.marketingxp.com/ticket/1490615
    und
    https://github.com/owncloud/core/pull/20966

    Bzgl. der Nachfragen: Werde mal die Infos, sobald ich Zeit habe, in einem ordentlichen Post zusammentragen.

  7. Hallo Leute,

    für euch kurz zur Info habe mir heute neue Zertifikate vom All-Inkl. Support ausstellen lassen und dieser hat mir noch folgendes mitgeteilt:

    „Wir haben für Sie das gewünschte Zertifikat erstellt und eingebunden.
    Lets Encrypt Zertifikate die von uns erstellt wurden, werden zukünftig auch automatisch 20-30 Tage vor Ablauf verlängert.“

    Hört sich doch schonmal super an 🙂

  8. Update: All-Inkl hat die Funktion der automatisierten Generierung von Let’sEncrypt-Zertifikaten inzwischen ins KAS integriert (unter Vorbehalt und mit Hinweis auf den Beta-Status) – äußerst komfortabel und unkompliziert mit automatischer Erneuerung:

    Zitat Support:

    Klicken Sie dazu im Menüpunkt „Domain“ hinter der Domain auf „Bearbeiten“. Als nächstes klicken Sie bei „SSL-Schutz“ ebenfalls auf „Bearbeiten“. Im nun öffnenden Fenster wählen Sie den Reiter „Let’s Encrypt“. Nachdem das Häckchen bei „Haftungsausschluss akzeptieren“ gesetzt worden ist, können Sie den Button „Jetzt ein Let’s Encrypt Zertifikat beziehen und einbinden“ betätigen.

    Die Einrichtung des Zertifikates nimmt ca. 5 Minuten in Anspruch. Danach ist das Zertifikat aktiv und kann genutzt werden. Eine Verlängerung der Zertifikate wird automatisch ca. 30 Tage vor Ablauf durch ALL-INKL durchgeführt.

    Beachten Sie, dass sich das Let’s Encrypt-Projekt noch in der BETA-Phase befindet. Es kann also noch Änderungen geben, welche zu Problemen führen können.“

    1. Danke für die Info 🙂 hab es gerade nochmals überprüft und funktioniert.

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*