[Eisfair] Let's encrypt

[Marcus Roeckrath]

Hallo Daniel,

Daniel Kubein wrote:

>>     Bei Verwendung des Challenge-Typ `tls-alpn-01' ist sicher
>>     zu stellen, dass der TCP-Port 443 bzw. den über den Parameter
>>     DEHYDRATED_ALPN_LISTEN_PORT definierte Port, korrekt an den
>>     ALPN-Responder-Dienst weiter geleitet wird.
> 
> 443 ist an 443 nach außen frei gegeben am Router.

Irgendwie ist diese Anleitung noch nicht ganz verständlich; Jürgen hat mich
auch erst auf die richtige Konfiguration an dieser Stelle hingewiesen, als
wir telefonisch noch einen Bug im Paket gesucht haben.

Der ALPN-Responder-Dienst ist ein eigener Dienst, der natürlich lokal nicht
auf dem https-Port des Apachen laufen darf - zwei Dienste auf gleichem Port
geht nicht.

Benutzt man also einen lokalen Webserver auf dem Port 443, muss man
DEHYDRATED_ALPN_LISTEN_PORT auf einen anderen freien Port setzen z. B.
8443 ...

Im Router ist dann der Port 443 nach intern 8443 weiterzuleiten.

Falls natürlich im Regelfall eine Weiterleitung von 443 an den internen
Webserver gewünscht ist, müsste man nun folgende Schritte über die Hooks
auf dem Router realisieren:

1. Löschen der Weiterleitung des 443 an den internen Webserver
2. Anlegen der Weiterleitung des 443 an den ALPN-Responder-Port

[Zertifikatsanforderung)

3. Löschen der Weiterleitung des 443 an den ALPN-Responder
4. Anlegen der Weiterleitung des 443 an den internen Webserver

Bei einer Fritzbox als Router kann das Paket avm_fritz_toolbox genutzt
werden, um in den Hooks diese Settings vorzunehmen. Beispiele für die
entsprechenden Skriptaufrufe hat Jürgen in der Konfigurationsdatei von
certs_dehydrated hinterlegt.

@Jürgen:
Laut Linux-Magazin 3/19 S. 16 soll das ACME-Protokoll im Apachen driekt
implementiert sein; hast du Kenntnis, ob das für unseren Apachen der Fall
ist?

-- 
Gruss Marcus