Zum Inhalt springen

Let’s Encrypt SSL-Zertifikat für Kopano beantragen

Version 10.1 von Jonas Mayer am 2022/05/09 13:43

Damit der Webzugriff von Kopano über ein Zertifikat abgesichert ist, muss dieses erst auf dem logoDIDACT-Server generiert werden. In folgendem Artikel erfahren Sie, was für Voraussetzungen es gibt und über welche Wege ein Zertifikat generiert werden kann.

Voraussetzungen

Damit ein Zertifikat generiert werden kann, müssen folgende Ports vom vorgeschalteten Router (WAN) an den logoDIDACT-Server weitergeleitet werden:

WAN (Internet) TCP-Port 80 -> auf externe IP-Adresse des logoDIDACT-Servers [http]
WAN (Internet) TCP-Port 443 -> auf externe IP-Adresse des logoDIDACT-Servers [https]

Freigabe von Kopano über rev-proxy

Erweitern Sie die /etc/logodidact/hosts/rev-proxy/revproxy.conf im Puppeteer-LXC um folgende Zeilen, um Kopano über den rev-proxy freizugeben, falls dies noch nicht erfolgt ist.

[ReverseProxy kopano.ShortName.logoip.de]
Url  https://kopano
Template kopano

 Übernehmen Sie die neuen Dateien bzw. die Änderungen ins Git:

cd /etc/logodidact/
git add .
git commit -a -m "Kopano über rev-proxy freigegeben."
Split-DNS

Hintergrund für Split-DNS ist ein oftmals fehlerhaftes NAT-Loopback am Router. Dies stellt sicher, dass externe Adressen wie z.b. kopano.shortname.logoip.de nicht zum Router geschickt werden, sondern zum internen rev-proxy weitergeleitet werden. Dadurch wird der Router als Fehlerquelle ausgeschlossen und alle Benutzer können im Schulnetz wie auch Zuhause die gleiche URL für den Zugriff verwenden.

Führen Sie folgende Schritte für die Einrichtung durch, falls noch nicht erfolgt.

Öffnen Sie die Datei "named.conf.local" im logosrv:

root@logosrv:~ # vim /etc/bind/named.conf.local

Bearbeiten Sie die Datei wie folgt (Ersetzen Sie "musterstadt" durch den Schul-Shortname):

## Externe dynamische IP intern auflösen
zone "musterstadt.logoip.de" {
  type master;
  file "/etc/bind/db.dynip";
  check-names ignore;
};

Öffnen Sie die Datei "db.dynip" im logosrv:

root@logosrv:~ # vim /etc/bind/db.dynip

Passen Sie gegebenenfalls die IP des Rev-Proxy Containers an. Im Standard ist diese die "172.28.28.27":

$TTL 1h
@                IN     SOA   ns1.schule.local. postmaster.schule.local. (
                                2009010101 ; serial
                                86400      ; refresh (1 day)
                                900        ; retry (15 minutes)
                                604800     ; expire (1 week)
                                900        ; minimum (15 minutes)
                                )

                 NS      ns1.schule.local.
                 NS      ns2.schule.local.

                 A       172.28.28.27
*                A       172.28.28.27

Starten Sie nach den Anpassungen den DNS-Server im logosrv neu:

root@logosrv:~ # /etc/init.d/bind9 restart

SSL-Zertifikat über Tool acmetool oder acme.sh anfordern

Nach Schaffung der technischen Voraussetzungen können Sie das Let's Encrypt-Zertifikat anfordern. Je nach verwendeter Software/Serverstand können Sie die folgenden 2 Wege nutzen:

acmetool

Wechseln Sie in den puppeteer Container:

root@ldhost:~ # lxc-ssh -n puppeteer

Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):

root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de
acme.sh

Wechseln Sie in den puppeteer Container:

root@ldhost:~ # lxc-ssh -n puppeteer

Wechseln Sie im puppeteer Container in die Umgebung für das Verwalten der Zertifikate:

root@puppeteer:~ # sle

Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):

le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de

Um das verteilen der Zertifikate zu beschleunigen können Sie ggf. einen prun im puppeteer und rev-proxy Container durchführen:

root@puppeteer:~ # prun
root@rev-proxy:~ # prun