Welcher Client für Let's Encrypt?

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Sat, 19 Dec 2015 00:45:06 +0100
Hallo zusammen,

ich möchte auf meinem ReverseProxy-server für verschiedene Domains
automatisiert Let's Encrypt Zertifikate verwalten. 

Für manche Domains habe ich StartSSL-Zertifikate (Class 2), für alle 
anderen Domains (VirtualHosts) will ich standardmäßig Let's Encrypt 
Zertifikate zur Verfügung stellen, die Domain validated und 
vollautomatisch ausgerollt werden sollen (derzeit verwende ich per 
default selbstsignierte Zertifikate).
 
Frage vorweg: Welcher Client ist praxistauglich (autonome cronjobs ohne
Betriebsunterbrechung)?

Ich habe mir mal den "standard client" angeschaut. Anders als manche 
bekannte Blogger habe ich jetzt keine grundsätzlichen Vorbehalte gegen 
Python und habe den für FreeBSD paketierten  py27-letsencrypt-0.1.0 
installiert.


--------------------------------------------------------------
[root_at_proxy ~]# pkg search letsencrypt
py27-letsencrypt-0.1.0         Let's Encrypt client
[root_at_proxy ~]# pkg install py27-letsencrypt-0.1.0
--------------------------------------------------------------

Es gibt 27 Abhängigkeiten py-27* (3MB / 24MB), soweit so übersichtlich.


Abschließende Info nach der Installation:

Message from py27-letsencrypt-0.1.0:
===========================================================================

The Let's Encrypt Client is BETA SOFTWARE. It contains plenty of bugs and
rough edges, and should be tested thoroughly in staging environments before
use on production systems.

This port installs the "standalone" Python client only, which does not use and
is not the letsencrypt-auto bootstrap/wrapper script.

To obtain certificates, use use the 'certonly' command as follows:

 # sudo letsencrypt --server <server-URL> certonly

Note: The client currently requires the ability to bind on TCP port 80. If
you have a server running on this port, it will need to be temporarily stopped
so that the standalone server can listen on that port to complete authentication.

The letsencrypt plugins to support apache and nginx certificate installation
will be made available soon in the following ports:

 * Apache plugin: security/py-letsencrypt-apache
 * Nginx plugin: security/py-letsencrypt-nginx

===========================================================================
 
Das geht natürlich gar nicht: Warum muss der Client *selbst* auf Port 80
lauschen?? Der Client könnte doch den laufenden Webserver verwenden?

--------------------------------------------------------------
[root_at_proxy ~]# pkg remove py27-letsencrypt-0.1.0         
[root_at_proxy ~]# pkg auto
--------------------------------------------------------------

Das geht also gar nicht!

Wer kennt *brauchbare* Alternativen?

Viele Grüße
Raphael
-- 
SMTP+XMPP:	rabe_at_uugrn.org oder rabe_at_sigsys.de 
OTR:		33790A42 C28ED889 2ABEA87C 4E829C29 C76E2F24	
PGP:		4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 19.12.2015

Dieses Archiv wurde generiert von hypermail 2.2.0 : 19.12.2015 CET