Let’s encrypt Zertifikate für Hosted Websites

Bei Hosteurope gibt es die Möglichkeit Let’s encrypt Zertifikate zu verwenden, allerdings müssen diese manuell angelegt und auch (alle 3 Monate) erneuert werden. Der Vorteil bei diesen Zertifikaten ist, sie sind gratis, der Nachteil man muss die Schritte bis zum eingetragenen Zertifikat für Hosteurope manuell durchführen. Andere Hosting Provider sind hier schon weiter, ich habe leider keine Ahnung warum sich Hosteurope weigert Let’s encrypt direkt aufzunehmen, es wird wohl ums Geld gehen, da das automatisierte Anlegen und Erneuern ebenso angeboten wird, allerdings gegen Bares.

Nichts destotrotz, die Möglichkeit gibt es, manuell halt. Hosteurope hat hierzu auch eine Anleitung veröffentlicht die es Schritt für Schritt zeigt (zu finden hier). Leider ist der ZeroSSL Service ab nun für Wildcard Domains kostenpflichtig und somit für manche auch keine Alternative mehr. Also nützt es nichts, man muss sich doch mit dem Certbot auseinandersetzen.

Certbot ist ein Tool welches für Zertifikaterstellung/erneuerung der Let’s encrypt Zertifikate zuständig ist. Das Tool ist in Python geschrieben und einfach zu handhaben. Die größere Arbeit ist es, sich in die vielen Möglichkeiten und die für einem selber notwendigen Schalter dieses Python-Kommandozeilentools einzulesen.

Meine Voraussetzungen:

  • Webspace bei Hosteurope (Webhosting Basic oder Premium, somit kein Zugriff auf Webserver Konfigs o.ä.)
  • Die Domain ist entweder direkt bei Hosteurope gehostet/gekauft oder bei einem externen Anbieter (domaindiscount24)

Um für diese Anfordungen ein Zertifikat zu bekommen, muss man Zugriff auf die DNS-Konfig haben, um eben TXT Einträge erledigen zu können und man muss vom Hosting-Provider die Möglichkeit haben manuell Zertifikate hochladen zu können.

In diesem Beispiel wird ein Let’s encrypt Zertifikat für seesle.at und *.seesle.at erstellt. Die Domain und die Website liegt bei Hosteurope.

Der Aufruf bei certbot sieht wie folgt aus:

sudo certbot -d "seesle.at,*.seesle.at" --manual-public-ip-logging-ok --manual --preferred-challenges dns certonly

Dabei bedeuten die Schalter folgendes:

  • -d: Domainnamen als Liste mit , getrennt; Durch den *. in der Wildcard Domain muss man für den Befehl diesen Parameter unter “” setzen
  • –manual-public-ip-logging-ok: Let’s encrypt verlangt, dass die IP des Rechners auf dem der Certbot ausgeführt wird mitgeloggt wird und auch öffentlich einsehbar ist, das Ganze kommt als Abfrage und bei Nein bekommt man kein Zertifikat; Mit diesem Schalter stimmt man dem explizit zu
  • –manual: bedeutet, dass die Ausführung von Certbot interaktiv (mit Abfragen und Text) in der Kommandozeile durchgeführt wird.
  • certonly: Das Zertifikat wird erstellt und lokal gespeichert aber nicht installiert; Der Grund hier ist, normalerweiße wird certbot auf dem Server auf dem der Webservice läuft ausgeführt und kann somit gleich automatisiert die Zertifikate installieren

Nach bestätigen des Befehls wird (sofern das Zertifikat noch nie erstellt wurde) eine E-Mail Adresse als Admin Adresse abgefragt. Wenn es sich um eine Erneuerung des Zertifikats handelt, dann bekommt man sofort den ersten Schlüssel den man im DNS-Eintrag ablegen muss.

Der Schlüssel besteht aus einer gewissen Anzahl an Zeichen/Sonderzeichen und muss nun direkt aus der Kommandozeile rauskopiert werden.

Nun geht man zu Hosteurope ins KIS und geht auf Domainservices -> Domain Administration -> Nameserver – / DNS-Einträge bearbeiten. In der Liste unten wählt man nun die Domain aus und klickt auf editieren.

Sollte der TXT Eintrag im Falle einer Zertifikatserneuerung bereits gemacht worden sein, dann einfach den Eintrag _acme-challenge.seesle.at raussuchen und dort den Schlüssel hinterlegen. Falls dieser noch nicht gemacht wurde, kann er ganz unten angelegt werden.

Wichtig hier: Falls man die normale Domain und alle Subdomains (mittels Wildcard Zertifikat) beim Certbot angegeben hat, muss man zwei TXT Einträge mit _acme-challenge.seesle.at anlegen

Wenn die Keys eingegeben sind, müssen sie mit jeweils nacheinander einem Klick auf zunächst Update und anschließend Speichern bestätigt werden.

Nun muss man ein paar Minuten warten bis die Einträge im DNS-System verfügbar werden. Zur Prüfung kann hierzu eine DNS TXT-Abfrage durchgeführt werden. Bei mir lokal, hat mein Router diese Einträge gecached und somit teils sehr lange nicht erneuert deshalb hab ich dann auf folgendes Tool zurückgegriffen.

Wenn hier die zwei Schlüssel korrekt angezeigt werden, kann man wieder zurück zum Certbot in die Kommandozeile und mit Enter die Zertifikatserstellung abschließen.

Certbot prüft nun ob die Keys an den korrekten Stellen eingetragen wurden (und ob man dadurch auch der Eigentümer der Domains ist) und erstellt bei Erfolg die Zertifikate ins Verzeichnis:

/etc/letsencrypt/username/live/seesle.at

Für Hosteurope sind die Zertifikate fullchain.pem und privkey.pem wichtig. Die beiden kopiert man sich am besten irgendwohin, wo man auch über den Browser zukommt (ACHTUNG: die müssen im Anschluss wieder lokal gelöscht werden).

Nun geht man bei Hosteurope unter WebHosting -> beim jeweiligen Vertrag auf Konfigurieren -> Sicherheit/SSL -> SSL administrieren

Unten in der Liste sucht man sich die Domain raus, für die das Zertifikat werstellt wurde und klickt auf Ersetzen bzw. Anlegen.

Im folgenden Fenster gibt es drei Felder die mit einer Datei gefüllt werden und ein Passwort Feld:

  • Im Feld Zertifikat lädt ihr das fullchain.pem File rein
  • Im Feld Key lädt ihr das privkey.pem File rein
  • Unser von Let’s encrypt angelegtes Zertifikat benötigt kein Passwort, somit kann dieses leer bleiben.
  • Das Feld CA* wird ebenfalls einfach leer gelassen

Anschließend ein Klick auf Absenden und das Zertifikat sollte hochgeladen sein. Nach ein paar Minuten ist bei korrekter Konfiguration des DNS auch über https erreichbar.

Zwei zusätzliche Dinge sind bei Hosteurope noch zu beachten:

  • Wechselt ihr von http auf https muss meist auch der A-Eintrag im DNS auf eine andere IP gewechselt werden (mehr dazu findet ihr in den FAQs von Hosteurope
  • Diesen Vorgang müsst ihr nun alle 3 Monate durchführen, ihr werdet aber per E-Mail auf die am Anfang eingegebene Adresse 20 Tage vor Ablauf benachrichtigt

Ich hoffe mit diesem Artikel ein geeignete Anleitung für diese Nische verfasst zu haben und würde mich auf Feedback freuen.

Zurück und vorwärts in Safari unter Lion

Nach langer Zeit endlich wieder mal ein Artikel, wenn auch nur ein kurzer.

Vor zwei Tagen hab ich das Update auf das neue Mac OSX OS Codename Lion durchgezogen und bin immer noch am Erkunden der neuen Features. Jedoch ein Feature, das mir besonders abgeht, ist das Vor- und Zurückgehen im Browser mit einem “drei Finger” Swipe nach Rechts bzw. Links.

Die Einstellung für diese Geste wurde bei mir nach dem Update auf das Wechseln der Arbeitsfläche zurückgesetzt. Um dies wieder umzustellen muss man in die Einstellungen => Trackpad => Weitere Gesten wechseln, hier wird nun die Aktion “Mit Wischen Seiten blättern” geändert auf “Mit drei Fingern horizontal wischen”.

Drei Finger Swipe für Safari unter Mac OSX Lion

Nun sollte der Safari bei einem Dreifingerswipe wieder wie gewohnt vor- und zurückblättern!

Opera 10 Beta 1 Released

Nachdem der Internet Explorer 8 bereits amWeg auf eure Desktops ist und alle anderen Browser Schmieden auch eine neue Version in den Startlöchen haben (Firefox 3.5 Beta, Safari 4 Beta) darf Opera in dieser Riege natürlich nicht fehlen.

Nicht verwunderlich dass Opera die erste Beta des Browsers Opera 10 veröffentlichte.

Viele Webapplikationen wie Google Mail oder Facebook verlangen dem Browser einiges an JavaScript Arbeit ab. Opera hat in dieser Disziplin ordentlich zugelegt und unter der Haube soll die JS – Engine des Browsers um 40% an Geschwindigkeit im Vergleich zu den alten Versionen zugelegt haben.

Wie der neue Firefox und auch die aktuelle Beta Version des Safari kann Opera auch mit dem neuen Standard HTML5 umgehen. Bei Opera wurde dieser Weg allerdings schon seit Version 9.5 beschritten. Damals hatte Opera schon Features wie das required Attribute beim Input Tag oder die neue Methode zum Erstellen der Combo Boxen implementiert.

Die von Opera erfundene Idee des SpeedDial bekam auch ein kleines Update. Als Speed Dial bezeichnen die Entwickler die Kästchen die angezeigt werden wenn ein leeres Tab oder eine leere Seite angezeigt wird. Diese kann man bei Opera mit seinen meistgenutzten Seiten füllen und somit bequem gleich nach dem Start des Browsers öffnen. In Version 10 kann die Anzahl der Kästchen angepasst werden, was besonders für Nutzer mit Monitore größeren Durchmessers gefallen dürfte. Weiters kann man sich die Speed Dial Oberfläche verschönern indem man ein Hintergrund Bild einfügt. Hier ein paar Screens der neuen Oberfläche…

Als weiteres neues Feature erhält der Browser die Unterstützung für die CSS Anweisung @font-face mit welcher man den Browser anweisen kann eine Schriftartendatei runterzuladen und den Text mit dieser Schrift anzuzeigen. Dies könnte mit HTML5 endlich bei allen Browsern kommen dann gäbe es mehr als 4-5 Schriftarten die auf allen Plattformen unterstützt werden. Bisher konnte dieses Feature nur der Internet Explorer aber Version 4.0. Näheres hierzu auf SelfHTML

Wie auch bereits bei Firefox mit Firebug zu sehen ist oder auch beim Internet Explorer 8 mit den  Entwicklertools hat Opera Dragonfly nachgereicht. Dragonfly gibts bereits in Version 9.x doch in Version 10 wurde dieses Tool nochmal kräftig überarbeitet. Es lässt in Version 10 des Browsers den Entwickler auch DOM Manipulation zu und auch die HTTP Headers sind anzeigbar.

Es bleibt auf alle Fälle spannend am Browsermarkt und Opera hat mit der aktuellen Beta ordentlich was  vorgelegt.

Firefox 3.5 RC1 im Juni

Anfang Juni soll nun der erste Release Candidate des Firefox 3.5 herausgebracht werden. Wie erwartet soll nach diesem RC die Vollversion folgen.

Speziell für diesen Release hat Mozilla auch ein Werbevideo produzieren lassen, ob wir dies jemals auf der Leinwand oder im Fernsehen sehen werden ist eine andere Frage. Der Werbespot möchte die Stärken des Browsers an den Nutzer bringen. Geschwindigkeit, Sicherheit und Konfigurierbarkeit werden besonders hervorgehoben.

Wie die letzten Statistiken beweisen hat Mozilla am Browsermarkt ordentlich an Anteil dazugewonnen. Die letzte Statistik zeigte sogar dass der Firefox den Internet Explorer 7 überholt hat. Wobei dies liegt eher am Fakt dass Microsoft den Internet Explorer 8 nun via Windows Update ausliefert.

Meiner Meinung nach ist der schnelle Launch der Version 3.5 ein extrem wichtiger Schritt. Bei mir zuhause wirkt die aktuelle Version 3.0.10 des Browsers extrem instabil und stürzt häufig ab. Ich habe diesen Effekt auch schon bei einigen WebGurus in Twitter verfolgen können, die auch über die Stabilität des aktuellen Browsers schimpfen!

Hier der Link zum Artikel bei Golem.