Toon posts:

Let's Encrypt ECDSA + RSA

Pagina: 1
Acties:

Vraag

dinsdag 4 oktober 2016 08:06

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik wil een Let's Encrypt RSA en ECDSA certificaat voor een domein met 2 subdomeinen (eg. example.org, www.example.org en mail.example.org) die automatisch vernieuwt. Ik heb meerdere dingen op het internet gevonden, maar het lukt mij niet.

Alle reacties

dinsdag 4 oktober 2016 12:08

Acties:
  • 0 Henk 'm!
  • Kevjoe
  • Registratie: Mei 2007
  • Laatst online: 09-09 17:59

Kevjoe

Now 100% more ecto-y.

Wat heb je al geprobeerd?

Na wat te Googlen kom ik hierop uit: https://blog.joelj.org/du...rtificates-in-apache-2-4/

Helpt dit je verder?

dinsdag 4 oktober 2016 12:23

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Kevjoe schreef op dinsdag 04 oktober 2016 @ 12:08:
Wat heb je al geprobeerd?

Na wat te Googlen kom ik hierop uit: https://blog.joelj.org/du...rtificates-in-apache-2-4/

Helpt dit je verder?
Ik heb al geprobeerd wat op Scott Helme's blog staat, maar dat lukte me niet.

De link die jij geeft gaat niet over Let's Encrypt en ik gebruik nginx als web server.

dinsdag 4 oktober 2016 12:27

Acties:
  • 0 Henk 'm!
  • Kevjoe
  • Registratie: Mei 2007
  • Laatst online: 09-09 17:59

Kevjoe

Now 100% more ecto-y.

Hij heeft nog een extra post hierover, https://blog.joelj.org/ec...-apache-2-4-lets-encrypt/

Hij neemt wel RSA niet mee omdat dit te verwaarlozen valt. Is RSA in jouw geval echt een vereiste?

dinsdag 4 oktober 2016 12:34

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 30-09 18:16

Kees

Serveradmin / BOFH / DoC
Voor zover ik weet zul je voor ECDSA nog steeds een eigen CSR moeten gebruiken en zal de automatische renewal ook iets lastiger zijn.

Ik zelf maak een csr aan voor zowel rsa als ecdsa en laat die dan (standalone) door letsencrypt verifyen en het resultaat kopieer ik naar mijn webservers toe.

Dus iets als:
openssl ecparam -genkey -name prime256v1 -out domein.ecdsa.key
openssl req -new -sha256 -nodes -key domein.ecdsa.key -out domein.csr -subj $subject

letsencrypt certonly --standalone  --agree-tos --non-interactive  --standalone-supported-challenges http-01 --http-01-port 81 --text --email bofh@tweakers.net --csr domein.csr --verbose

Renewal is dan alleen het laatste commando nog een keer uitvoeren. Let er wel op dat dit ook geen howto is, maar hoe ik het doe, ymmv.

RSA word nauwelijks meer gebruikt sinds ik een ecdsa cipher heb, gemiddeld 50 ecdsa encrypts per seconde vs 0.3 rsa encrypts per seconde over de afgelopen maand. Dus ongeveer 0.6%. Maar dat is op tweakers.net.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

dinsdag 4 oktober 2016 14:13

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:30

Hero of Time

Moderator LNX

There is only one Legend

Verwijderd schreef op dinsdag 04 oktober 2016 @ 08:06:
Ik heb meerdere dingen op het internet gevonden, maar het lukt mij niet.
Verwijderd schreef op dinsdag 04 oktober 2016 @ 12:23:
[...]

Ik heb al geprobeerd wat op Scott Helme's blog staat, maar dat lukte me niet.
Wat lukt dan niet? Geef eens foutmeldingen. Iets waar we wat aan hebben. Nu kunnen we helemaal niets. Je doet nu hetzelfde als tegen de dokter zeggen dat je pijn hebt, maar niet waar, hoe erg, etc.

Commandline FTW | Tweakt met mate

dinsdag 4 oktober 2016 16:27

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Hero of Time schreef op dinsdag 04 oktober 2016 @ 14:13:
[...]


[...]

Wat lukt dan niet? Geef eens foutmeldingen. Iets waar we wat aan hebben. Nu kunnen we helemaal niets. Je doet nu hetzelfde als tegen de dokter zeggen dat je pijn hebt, maar niet waar, hoe erg, etc.
Toen ik het probeerde, hostte ik de acme challenges op mijn nginx, maar die redirect alle HTTP naar HTTPS, waardoor het niet lukte met acme-tiny. Nu probeer ik het met Certbot (met de webroot plugin) en dat werkt wel.

zaterdag 8 oktober 2016 23:11

Acties:
  • 0 Henk 'm!
  • Demo
  • Registratie: Juni 2000
  • Laatst online: 30-09 11:31

Demo

Probleemschietende Tovenaar

Verwijderd schreef op dinsdag 04 oktober 2016 @ 16:27:
[...]


Toen ik het probeerde, hostte ik de acme challenges op mijn nginx, maar die redirect alle HTTP naar HTTPS, waardoor het niet lukte met acme-tiny. Nu probeer ik het met Certbot (met de webroot plugin) en dat werkt wel.
Met een 301 op location /?
code:
1
2
3

        location /.well-known/ {
                root /srv/www/letsencrypt;
        }

Deze oplossing gebruik ik om alle challenges - ook voor zut die niet in nginx draait, certs die ik voor postfix gebruik bijvoorbeeld - te rewriten.

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq