[Eisfair] [E1] Eisfair und Let's Encrypt
Olaf Jaehrling
eisfair at ojaehrling.de
So Sep 4 01:36:23 CEST 2016
Hallo Marcus,
Marcus Roeckrath schrieb am 03.09.2016 um 22:20:
> Hallo Jürgen,
>
> Juergen Edner wrote:
>
>> dann musst Du die Zertifikatsdateien gegebenenfalls auf einem anderen
>> Rechner herunterladen, welcher über Port 80/tcp erreichbar ist und dann
>> auf die anderen Server kopieren.
>
> Ich muss mal drüber nachdenken.
>
> Dass von Olaf in seiner Beschreibung bemühte lestencrypt )Python) Skript
> bringt ja seinen eigenen Webserver mit, so dass man dann den Port 80 eben
> auf den Port 80 weiterleitet.
Ich würde da gern Jürgen seine Idee aufgreifen. Was sprich dagegen einen
anderen Server als "marcus-schule.de" nur für das letsenrypt-zertifikat
laufen zu lassen? (Also nur ein Server, der normalerweise kein
http-server zu Verfügung stellt, aber für diesen Fall mal die Mama
spielt) Gefallen tut mir die Idee auch nicht wirklich, wäre aber eine
Alternative.
Also. Der Server läuft eh zeitweise. Wenn er läuft und das Cert kurz vor
dem Ablauf ist (cronjob) dann holt er das Cert und schubst es via scp zu
dem Server. Dieser bekommt das mit und erneuert das Cert.
Wäre das eine Alternative?
Mein Gedanke dabei ist, dass die Diskussion wegen alternativen Port
nicht ganz unberechtigt ist, aber in einigen Fällen durch die sehr kurze
Gültigkeitsdauer zu extremen Einschränkungen führt. Einerseits sehe ich
es ein, dass es ein kostenloses Zertifikat ist und die Zugehörigkeit
auch irgendwie sichergestellt sein muss, andererseits will man auch als
Privatperson die Ausfallzeit sehr kurz halten.
Ich muss also durchtesten, wie lange die Ausfallzeit meines Servers
ist, wenn ich das Zertifikat erneuere. Wenn die kürzer als 90 Sekunden
ist, gibt es keine Probleme, da jeder Webserver mittlerweile diese
Zeitspanne als ok ansieht. Test heute (04.09) oder morgen(05.09)
Gruß
Olaf
Gruß
Olaf
>
> Dieser wäre dann nur solange erreichbar, wie das Skript läuft.
>
Mehr Informationen über die Mailingliste Eisfair