SSL/TLS certificaten van 'Let's Encrypt'

[Joris de Leeuw]

Beste mackaaij,

De betreffende afbeelding waar je op wijst is de standaardfunctionaliteit die DirectAdmin biedt voor Let's Encrypt. De betreffende oplossing zullen wij niet gaan gebruiken gezien wij geen out-of-the-box-versie van DirectAdmin gebruiken op een single server, maar een maatwerkoplossing op een geheel platform. We gaan daarbij natuurlijk een stap verder dan de standaardfunctionaliteit, waarbij het inschakelen van Let's Encrypt voor klanten nog gemakkelijker wordt.

Het nadeel van de standaardoplossing van DirectAdmin is namelijk dat je SSL zelf handmatig moet instellen en verlengen. Onze implementatie gaat hierin nu al een stap verder. Wij detecteren automatisch als een certificaat van een klant verloopt en vervangen deze met onze implementatie met een nieuw certificaat zodat de website ieder geval via SSL blijft werken. Hierdoor verlopen nooit per abuis je afgenomen SSL certificaten bij Antagonist tenzij je er expliciet voor kiest deze te laten verlopen.

Tevens biedt onze aanvulling van Let's Encrypt nog enkele andere voordelen waar we in de toekomst meer over zullen delen!

Mocht je nog deel willen nemen aan het testen van onze nieuwe Let's Encrypt functionaliteit of feedback hierover hebben kan je contact opnemen met mijn collega Erik via support@antagonist.nl. Hij zal alle vragen en feedback hierover bundelen van onze Let's Encypt beta test.

[mackaaij]

Vimexx zal tegen hetzelfde aangelopen zijn? Maar gaat me niet om het gebruiken van de standaardfunctionaliteit van DirectAdmin. Dit vinkje staat op een mooie logische plek.

Dat subdomeinen belangrijk zijn heb ik al eerder aan je doorgegeven via e-mail n.a.v. deelname aan de test.

[ASS-Ware]

Met onze huidige implementatie zullen bestaande geldige certificaten nooit worden overschreven en pas (automatisch) worden vervangen als je certificaat bijna verloopt. Op deze manier zorgen we ervoor dat je altijd een geldig SSL certificaat hebt voor je website, maar je ook nog andere certificaten kan blijven gebruiken binnen je pakket. Zo zorgen we ervoor dat je bijvoorbeeld een SSL certificaat met Extended Validation waarin je bedrijfsnaam wordt genoemd kan blijven gebruiken en dat deze niet zomaar wordt overschreven door een Let's Encrypt certificaat.

Mocht je hierover feedback hebben stuur dan gerust een e-mail naar support@antagonist.nl. Alle input is welkom!

Dit werkte bij mij niet goed.
Ik heb in oktober handmatig een Let's Encrypt certificaat geïnstalleerd welke vandaag verliep.
Het "enable-bestandje" had ik al geplaatst, deze werd ook verwijderd, dus ik ging er vanuit dat e.e.a. was opgepakt, maar ik kreeg vandaag geen nieuw certificaat.
Ik heb het "enable-bestandje" opnieuw geplaatst en nu doet hij het wel.
(ik zal dit ook mailen)

[ednl]

Mooi initiatief van Antagonist (eindelijk;)). Heb het geprobeerd op een domein waar ik ook aliases heb, en die ik niet in pointers wil veranderen. Verliep soepel, behalve dat die aliases nu niet zijn meegenomen in het certificaat, dus het certificaat is daar niet geldig (logisch), en dat gaat dan op die aliases natuurlijk mis met private_html als link en de standaard Rewrite die ik van de supportpagina heb geplukt. Voor nu heb ik een RewriteCond toegevoegd: "RewriteCond %{HTTP_HOST} example\.com" waarbij example.com mijn hoofddomein is waarvoor het certificaat wel geldig is. Op de aliases blijft "http://" dus bewaard. Ik zou nog een omgekeerde rule https->http kunnen maken voor http_host != example.com, maar dat heb ik in het kader van de test niet gedaan.

Mijn vraag/suggestie is of het meenemen van aliases mogelijk wordt in de uiteindelijke implementatie via DirectAdmin, of zal dat iets blijven wat je handmatig moet doen met ssh-toegang? ...Die heb ik namelijk niet op deze hosting.

(Ook gemaild.)

[ASS-Ware]

Mijn vraag/suggestie is of het meenemen van aliases mogelijk wordt in de uiteindelijke implementatie via DirectAdmin, of zal dat iets blijven wat je handmatig moet doen met ssh-toegang? ...Die heb ik namelijk niet op deze hosting.

https://www.antagonist.nl/blog/2016/02/introductie-ssh/

Nieuw: SSH voor onze klanten!
Geplaatst op 14 februari 2016 door Erik Jan Hofstede
“Rozen zijn rood, Antagonist is blauw, vandaag op deze Valentijnsdag geven wij SSH aan jou ”
Yes, daar is ‘ie: SSH-toegang naar je hostingaccount! Afgelopen maanden hebben we keihard aan deze nieuwe feature gewerkt. In dit artikel heb ik de eer om jullie mede te delen dat vanaf nu SSH-toegang beschikbaar is op Slim-, Plus-, en Pro-pakketten.

[ednl]

ssh-toegang? ...Die heb ik namelijk niet op deze hosting.

vanaf nu SSH-toegang beschikbaar is op Slim-, Plus-, en Pro-pakketten.

Ja, en? Het is geen Slim-, Plus- of Pro-pakket.

[ASS-Ware]

ssh-toegang? ...Die heb ik namelijk niet op deze hosting.

vanaf nu SSH-toegang beschikbaar is op Slim-, Plus-, en Pro-pakketten.

Ja, en? Het is geen Slim-, Plus- of Pro-pakket.

Niet gelijk boos worden hoor.
Dat kon ik niet weten.

[ruude4s]

SSH toegang is ook mogelijk bij de resellerpakketten. Deze moet je dan even per email aanvragen. Mogelijk geldt dit ook voor andere/oudere pakketten.

[ASS-Ware]

SSH toegang is ook mogelijk bij de resellerpakketten. Deze moet je dan even per email aanvragen. Mogelijk geldt dit ook voor andere/oudere pakketten.

Misschien heeft hij nog een oud alles-in-1 pakket, geen idee of je daar SSH op kan krijgen.

[MaxEnforcer]

Volg de discussie en berichten op de website nu voor een aantal maanden en zie dat de vraag naar Lets Encrypt bij Antagonist groot is.

Mijn vraag is: Kan er een schatting gemaakt worden wanneer dit beschikbaar komt? Zit er zelf namelijk ook met smart op te wachten

[ASS-Ware]

Volg de discussie en berichten op de website nu voor een aantal maanden en zie dat de vraag naar Lets Encrypt bij Antagonist groot is.

Mijn vraag is: Kan er een schatting gemaakt worden wanneer dit beschikbaar komt? Zit er zelf namelijk ook met smart op te wachten

Je hebt kunnen lezen dat je jezelf kan opgeven om dit te testen.
Mail even met support@antagonist.nl.

[ednl]

Je kunt je opgeven voor de *beta* test, maar ik zou het alleen voor hobby-sites doen. Eerste keer ging goed bij mij (maar waar de aliassen niet mee kwamen) maar de tweede die ik probeerde daar kwam het certificaat terug op naam van "webhostingserver.nl" dus dat was niet zo nuttig. Plus dat ik daar ook geen ssh heb (inderdaad, een oud alles-in-1 pakket) dus kan het ook niet zelf verwijderen, denk ik, tenzij ik de hele private_html verwijder. Is nu een link dus makkelijk genoeg, maar ja dan blijft dat certificaat ergens verweesd achter.

[twisterking]

Je hebt kunnen lezen dat je jezelf kan opgeven om dit te testen.

Ook hier iemand die deze discussie al een tijdje volgt en benieuwd is wanneer dit beschikbaar komt. En dan graag met een uitgebreid stappenplan. Ik wil dit graag toepassen op een aantal sites in een reselleraccount maar ik lees hier dat ik dan met SSH aan de slag moet vanwege de aliasses. Vind het daarom prima dat Antagonist eerst goed kijkt tegen welke problemen ze aanlopen, en dat ze straks met een kant en klare oplossing komen.

Het is nou niet zo dat het een paar hobbysites zijn en ik ben gewoon bang dat als ik maar wat ga 'testen' dat ik meer kwaad dan goed ga doen.

[ASS-Ware]

Je hebt kunnen lezen dat je jezelf kan opgeven om dit te testen.

Ook hier iemand die deze discussie al een tijdje volgt en benieuwd is wanneer dit beschikbaar komt. En dan graag met een uitgebreid stappenplan. Ik wil dit graag toepassen op een aantal sites in een reselleraccount maar ik lees hier dat ik dan met SSH aan de slag moet vanwege de aliasses. Vind het daarom prima dat Antagonist eerst goed kijkt tegen welke problemen ze aanlopen, en dat ze straks met een kant en klare oplossing komen.

Het is nou niet zo dat het een paar hobbysites zijn en ik ben gewoon bang dat als ik maar wat ga 'testen' dat ik meer kwaad dan goed ga doen.

Als je jezelf opgeeft als tester, dan krijg je van de support een stappenplan.
Voor de aliassen moeten we nog wat geduld hebben, maar voor de hoofddomeinen werkt het hier bijna perfect.

[iranl]

Bij deze plaats ik mijn oplossing voor Let's Encrypt voor zowel oude (zonder SSH) als nieuwe hostingpakketten.
Maakt gebruik van hetzelfde LE script als de oplossing van Notify eerder in dit topic, maar is wat eenvoudiger van opzet en alleen gericht op automatische renewal.

Geen interface (wel redelijk uitgebreide logging) en niet bedoeld om van binnen de webroot gerund te worden, maar puur voor een cronjob om na eenmalig instellen niet meer aan te denken.

<disclaimer>Geen garanties en wordt geplaatst AS IS. Doe er je voordeel mee en anders niet</disclaimer>

Het zou ook moeten werken voor aliasen/domain pointers, dit is echter niet getest.
In het geval van meerdere losse hoofddomeinen binnen dezelfde Antagonist omgeving kan het leupdate.php bestand gewoon meerdere keren gecloned worden met de juiste instellingen/subdomeinen per hoofddomein en één cron per hoofddomein.

Benodigdheden:
-Oud of nieuw hosting pakket bij Antagonist
-Login gegevens Antagonist (deb.... + wachtwoord)

Instructies (in +- 15 minuten te doen):
-Download deze zip van Google Drive: https://drive.google.com/file/d/0B3k06T ... hrM0U/view (klik rechtsbovenin op het pijltje om te downloaden)
-Pak de ZIP ergens uit
-Volg de instructies in README.pdf (Zo platform/software onafhankelijk en eenvoudig als ik het kon verzinnen)