Hallo zusammen,
auch ich würde sehr gerne Univention als Zuhause für meine Dienste nutzen, komme dabei aber nicht mehr um SSL herum.
Dabei scheite ich leider nun an der Lets Encrypt App (ohne Support), hoffe aber es findet sich wer fachkundiges.
Umgebung ist ein kleiner Server direkt “im Netz” bei einem Dienstleister aus Karlsruhe.
Hier mal das was ich gemacht und probiert habe (*=meine Domain):
Eingesetzte Software/Versionen:
Univention 4.3-0
Lets encrypt 1.2.2-3
Konfiguration gesetzt:
apache2/force_https=yes
eingegebene Domänen im Konfigurationsdialog: ww..de webmail..de ucs-sso..de mail..de
Aktueller Status der App
Certificate refreshed at Di 5. Jun 20:38:22 CEST 2018
→ sieht ok aus
/var/log/univention/letsencrypt.log
Di 5. Jun 20:38:16 CEST 2018
Refreshing certificate for following domains:
www.*.de ucs-sso.*.de mail.*.de webmail.*.de
Parsing account key...
Parsing CSR...
Found domains: www.*.de, webmail.*.de, ucs-sso.*.de, mail.*.de
Getting directory...
Directory found!
Registering account...
Already registered!
Creating new order...
Order created!
Verifying mail.*.de...
mail.*.de verified!
Verifying ucs-sso.*.de...
ucs-sso.*.de verified!
Verifying webmail.*.de...
webmail.*.de verified!
Verifying www.*.de...
www.*.de verified!
Signing certificate...
Certificate signed!
Certificate refreshed at Di 5. Jun 20:38:22 CEST 2018
Setting letsencrypt/status
Module: kopano-cfg
→ sieht ok aus
openssl s_client -connect www.*.de:443
CONNECTED(00000003)
depth=1 C = DE, ST = DE, L = DE, O = *, OU = Univention Corporate Server, CN = Univention Corporate Server Root CA (ID=kKTk6fx0), emailAddress = ssl@*.de
verify error:num=19:self signed certificate in certificate chain
---
Certificate chain
0 s:/C=DE/ST=DE/L=DE/O=*/OU=Univention Corporate Server/CN=ucs-sso.*.de/emailAddress=ssl@*.de
i:/C=DE/ST=DE/L=DE/O=*/OU=Univention Corporate Server/CN=Univention Corporate Server Root CA
→ nicht OK, im Browser auch als unsicher markiert (gelb/rot-je nach Marke): “Diese Website stellt keine Informationen über den Besitzer zur Verfügung.”
→ Datum des Zertifikates ist vom Installationstag !
gefundene Artikel:
https://wiki.univention.de/index.php/Cool_Solution_-_Let's_Encrypt
→ veraltete Komponente (für 4.2), hilft aber auch nicht
→ DNS passt, TLD und jede Subdomain wird korrekt aufgelöst (im DNS steht * bei Typ A)
→ auch ok
Ich bin sehr dankbar für jeden Tip !