Wiki-Quellcode von Let’s Encrypt SSL-Zertifikat für Kopano beantragen
Zuletzt geändert von Jens Gruber am 2022/05/25 09:01
Verstecke letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
 |
15.1 | 1 | (% style="color:#000000" %)Damit Webzugriffe auf Kopano über ein Zertifikat abgesichert sind, muss dieses zunächst auf dem LogoDIDACT-Server beantragt werden. Dies ist insbesondere für die Nutzung von Z-Push (ActiveSync-Protokoll) von hoher Relevanz. |
| |
17.1 | 2 | In diesem Artikel erfahren Sie, welche Voraussetzungen es gibt und wie ein signiertes Let's Encrypt Zertifikat generiert werden kann. |
| |
1.1 | 3 | |
| |
16.1 | 4 | {{toc start="4"/}} |
| |
1.1 | 5 | |
| 6 | |||
| |
16.1 | 7 | ---- |
| 8 | |||
| 9 | ==== (% style="color:#000000" %)__Voraussetzungen__(%%) ==== | ||
| 10 | |||
| |
9.1 | 11 | (% style="color:#000000" %)Damit ein Zertifikat generiert werden kann, müssen folgende Ports vom vorgeschalteten Router (WAN) an den logoDIDACT-Server weitergeleitet werden: |
| |
1.1 | 12 | |
| 13 | {{code language="bash"}} | ||
| 14 | WAN (Internet) TCP-Port 80 -> auf externe IP-Adresse des logoDIDACT-Servers [http] | ||
| 15 | WAN (Internet) TCP-Port 443 -> auf externe IP-Adresse des logoDIDACT-Servers [https] | ||
| 16 | {{/code}} | ||
| 17 | |||
| 18 | |||
| |
7.1 | 19 | ===== __Freigabe von Kopano über rev-proxy__ ===== |
| 20 | |||
| |
17.2 | 21 | (% style="color:#000000" %)Stellen Sie zunächst sicher, dass der rev-proxy Container am Server aktiviert ist, falls Sie Kopano im Internet freischalten möchten. |
| 22 | |||
| 23 | (% style="color:#000000" %)Erweitern Sie die ##{{code}}/etc/logodidact/hosts/rev-proxy/revproxy.conf{{/code}}## im Puppeteer-LXC um folgende Zeilen, um Kopano im rev-proxy freizugeben. Achten Sie hierbei auf Angabe des richtigen Templates. | ||
| 24 | |||
| |
7.1 | 25 | {{code language="bash"}} |
| 26 | [ReverseProxy kopano.ShortName.logoip.de] | ||
| |
11.1 | 27 | Url https://kopano |
| |
7.1 | 28 | Template kopano |
| 29 | {{/code}} | ||
| 30 | |||
| 31 | (% style="color:#000000" %) Übernehmen Sie die neuen Dateien bzw. die Änderungen ins Git: | ||
| 32 | |||
| 33 | {{code language="bash"}} | ||
| 34 | cd /etc/logodidact/ | ||
| 35 | git add . | ||
| 36 | git commit -a -m "Kopano über rev-proxy freigegeben." | ||
| 37 | {{/code}} | ||
| 38 | |||
| 39 | |||
| |
5.1 | 40 | ===== (% style="color:#000000" %)__Split-DNS__(%%) ===== |
| |
1.1 | 41 | |
| |
9.1 | 42 | (% style="color:#000000" %)Hintergrund für Split-DNS ist ein oftmals fehlerhaftes NAT-Loopback am Router. Dies stellt sicher, dass externe Adressen wie z.b. kopano.shortname.logoip.de nicht zum Router geschickt werden, sondern zum internen rev-proxy weitergeleitet werden. Dadurch wird der Router als Fehlerquelle ausgeschlossen und alle Benutzer können im Schulnetz wie auch Zuhause die gleiche URL für den Zugriff verwenden. |
| |
1.1 | 43 | |
| |
9.1 | 44 | (% style="color:#000000" %)Führen Sie folgende Schritte für die Einrichtung durch, falls noch nicht erfolgt. |
| |
1.1 | 45 | |
| |
5.1 | 46 | (% style="color:#000000" %)Öffnen Sie die Datei "named.conf.local" im logosrv: |
| |
1.2 | 47 | |
| 48 | {{code language="bash"}} | ||
| 49 | root@logosrv:~ # vim /etc/bind/named.conf.local | ||
| 50 | {{/code}} | ||
| 51 | |||
| 52 | |||
| |
5.1 | 53 | (% style="color:#000000" %)Bearbeiten Sie die Datei wie folgt (Ersetzen Sie "musterstadt" durch den Schul-Shortname): |
| |
1.2 | 54 | |
| 55 | {{code language="bash"}} | ||
| 56 | ## Externe dynamische IP intern auflösen | ||
| 57 | zone "musterstadt.logoip.de" { | ||
| 58 | type master; | ||
| |
2.1 | 59 | file "/etc/bind/db.dynip"; |
| |
1.2 | 60 | check-names ignore; |
| 61 | }; | ||
| 62 | {{/code}} | ||
| 63 | |||
| 64 | |||
| |
11.1 | 65 | (% style="color:#000000" %)Öffnen Sie die referenzierte Datei {{box}}db.dynip{{/box}} im logosrv: |
| |
1.2 | 66 | |
| 67 | {{code language="bash"}} | ||
| 68 | root@logosrv:~ # vim /etc/bind/db.dynip | ||
| 69 | {{/code}} | ||
| 70 | |||
| 71 | |||
| |
11.1 | 72 | (% style="color:#000000" %)Passen Sie gegebenenfalls die IP-Adresse in den letzten beiden Zeilen an, als Ziel muss auf den Rev-Proxy Container verwiesen werden. Im Standard lautet dessen IP-Adresse "172.28.28.27": |
| |
1.2 | 73 | |
| 74 | {{code language="bash"}} | ||
| 75 | $TTL 1h | ||
| 76 | @ IN SOA ns1.schule.local. postmaster.schule.local. ( | ||
| 77 | 2009010101 ; serial | ||
| 78 | 86400 ; refresh (1 day) | ||
| 79 | 900 ; retry (15 minutes) | ||
| 80 | 604800 ; expire (1 week) | ||
| 81 | 900 ; minimum (15 minutes) | ||
| 82 | ) | ||
| 83 | |||
| 84 | NS ns1.schule.local. | ||
| 85 | NS ns2.schule.local. | ||
| 86 | |||
| |
11.1 | 87 | @ A 172.28.28.27 |
| |
2.1 | 88 | * A 172.28.28.27 |
| |
1.2 | 89 | {{/code}} |
| 90 | |||
| |
2.1 | 91 | |
| |
5.1 | 92 | (% style="color:#000000" %)Starten Sie nach den Anpassungen den DNS-Server im logosrv neu: |
| |
2.1 | 93 | |
| 94 | {{code language="bash"}} | ||
| 95 | root@logosrv:~ # /etc/init.d/bind9 restart | ||
| 96 | {{/code}} | ||
| 97 | |||
| 98 | |||
| |
16.1 | 99 | ---- |
| |
2.1 | 100 | |
| |
16.1 | 101 | ==== (% style="color:#000000" %)__SSL-Zertifikat über Tool acmetool oder acme.sh anfordern__(%%) ==== |
| 102 | |||
| |
10.1 | 103 | (% style="color:#000000" %)Nach Schaffung der technischen Voraussetzungen können Sie das Let's Encrypt-Zertifikat anfordern. Je nach verwendeter Software/Serverstand können Sie die folgenden 2 Wege nutzen: |
| |
2.1 | 104 | |
| 105 | |||
| |
5.1 | 106 | ===== (% style="color:#000000" %)__acmetool__(%%) ===== |
| |
2.1 | 107 | |
| |
5.1 | 108 | (% style="color:#000000" %)Wechseln Sie in den puppeteer Container: |
| |
2.1 | 109 | |
| 110 | {{code language="bash"}} | ||
| 111 | root@ldhost:~ # lxc-ssh -n puppeteer | ||
| 112 | {{/code}} | ||
| 113 | |||
| 114 | |||
| |
5.1 | 115 | (% style="color:#000000" %)Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname): |
| |
2.1 | 116 | |
| 117 | {{code language="bash"}} | ||
| 118 | root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de | ||
| 119 | {{/code}} | ||
| 120 | |||
| 121 | |||
| |
5.1 | 122 | ===== (% style="color:#000000" %)__acme.sh__(%%) ===== |
| |
2.1 | 123 | |
| |
5.1 | 124 | (% style="color:#000000" %)Wechseln Sie in den puppeteer Container: |
| |
2.1 | 125 | |
| 126 | {{code language="bash"}} | ||
| 127 | root@ldhost:~ # lxc-ssh -n puppeteer | ||
| 128 | {{/code}} | ||
| 129 | |||
| 130 | |||
| |
12.1 | 131 | (% style="color:#000000" %)Wechseln Sie im puppeteer Container in die Umgebung des Benutzers le-acme zur Verwaltung der Let's Encrypt Zertifikate: |
| |
2.1 | 132 | |
| 133 | {{code language="bash"}} | ||
| 134 | root@puppeteer:~ # sle | ||
| 135 | {{/code}} | ||
| 136 | |||
| 137 | |||
| |
12.1 | 138 | (% style="color:#000000" %)Beantragen Sie ein neues Zertifikat mit folgendem Befehl (ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname): |
| |
2.1 | 139 | |
| 140 | {{code language="bash"}} | ||
| 141 | le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de | ||
| 142 | {{/code}} | ||
| 143 | |||
| 144 | |||
| |
12.1 | 145 | (% style="color:#000000" %)Um das Verteilen der Zertifikate zu beschleunigen, können Sie nacheinander einen {{box}}prun{{/box}} im puppeteer und rev-proxy Container durchführen: |
| |
2.1 | 146 | |
| 147 | {{code language="bash"}} | ||
| 148 | root@puppeteer:~ # prun | ||
| 149 | root@rev-proxy:~ # prun | ||
| 150 | {{/code}} | ||
| 151 | |||
| 152 |