[Eisfair_dev] certs_letsencrypt v0.90.6 - testing

[Juergen Edner]

Hallo Benjamin,

> invalid list of program, should be an empty string or a colon  separated
> list of the following programs: "apache2",            "ldapserver",
> "mail", "mini_httpd", "partimg", "pure-ftpd" or  "ssmtp".

nebenbei erwähnt, es macht wenig Sinn das mail- und ssmtp-Paket
gleichzeitig auszuwählen, da diese sich nicht gleichzeitig auf
einem System installieren lassen ;-) Die nächste Version wird
dies abprüfen und gegebenenfalls einen Fehler auswerfen.

> aber mal was anderes dazu, ich hatte ja schon nach Olafs Anleitung das
> Cert erstellt.
> 
> Sollte ich jetzt lieber warten bis es abgelaufen ist? Oder kann ich die
> Cert Files irgendwohin copieren, sodas das Paket selbige als vorhanden
> erkennt und erst nach Ablauf aktiv wird?

Wenn Du bereits ein Let's Encrypt-Zertifikat manuell erstellt hast,
wird hier beschrieben wie man es in die letsencrypt.sh-Struktur
nach /var/certs/letsencrypt übernehmen kannst (getestet habe ich
dies aber nicht):

https://github.com/lukas2511/letsencrypt.sh/wiki/Import-from-official-letsencrypt-client

> desweiteren hat Olaf ja sogar noch weitere Parameter mit bei und die
> Schlüsselstärke auch hochgesetzt, siehe:
> ...
> --standalone-supported-challenges tls-sni-01

Aktuell unterstützt letsencrypt.sh noch keine 'tls-sni-01', d.h.
eingehende Verbindung über Port 443. Diese werden aktuell nur
über 'http-01' und Port 80 abgewickelt.

> --rsa-key-size 4096 -d ...

Die RSA-Schlüsselgröße wurde standardmäßig auf 2048 gesetzt, da dies
nach häufiger Meinung ausreichend für die Absicherung einer Webseite
ist. Das Für und Wider kannst Du u.a. hier nachlesen:

https://danielpocock.com/rsa-key-sizes-2048-or-4096-bits

Im Skript selbst habe ich bereits Vorkehrungen getroffen dies
einstellbar zu machen, aber die Frage ist immer ob man in einem
neuen Paket sofort alles konfigurierbar macht oder erst einmal
schaut dass es rund läuft ;-)

Gruß Jürgen
-- 
Mail: juergen at eisfair.org