[Eisfair] Certs - Config - FNF Prob

Mo Mai 20 16:09:28 CEST 2019

Hallo Marcus

ich würde das nicht mit einer Windows-Methode vergleichen...
Da ich mit Eisfair-VM's unter KVM teste, ist es super einfach, Zustände einfach mit den VM-Images abzuspeichern und bei Bedarf 
wieder zu holen, um ab einem bestimmten Punkt wieder aufzusetzen...

Am 20.05.19 um 11:13 schrieb Marcus Roeckrath:
> Bitte aber auch nach jedem Schritt prüfen, ob der Schritt zum Erfolg
> führt und dann erst weitermachen.

Ja, deswegen bin ich auch wieder zurück gegangen.

Btw.: Ich hab's jetzt:

1. Starten mit:
	- Konfigurierter DB (mariadb)
	- aktiviertem und konfiguriertem "certs"
		-- erzeugtem CA
		-- erzeugtem Serverzertifikat (hier: e64nc17fpm.hiro.corp)
		   (KEIN apache.pem symb. link)

2. Installation und Aktivierung von "apache2" + Anschließender Konfiguration.

Bei der Konfiguration sucht das Skript vermutlich nach einem apache.pem und einem Server-Zertifikat.
Falls ersteres nicht vorhanden und letzteres vorhanden ist, erhalte ich folgende Msgs bzw. Dialog:

------------------------------------------------------------------------------------------------------
      1	Checking configuration file ...
      2	
      3	Configuration file was saved as apache2.2019-05-20-14-14-56 in /etc/backup.d.
      4	
      5	Activate configuration now (y/n) [yes]?
      6	Creating Apache2 configuration ...
      7	Adding user wwwrun...
      8	
      9	Please enter the password for the user 'wwwrun'
     10	
     11	New password:
     12	Retype new password:
     13	passwd: password updated successfully
     14	
     15	Use the FTP-User 'wwwrun' to transfer files via FTP into your webroot!
     16	Creating apache.pem
     17	Notice: The Common Name (you will type it in a moment) has to be the ServerName!
     18	
     19	A key /usr/local/ssl/private/e64nc17fpm.hiro.corp.key already exists.
     20	Remove previously generated files (.key, .csr, .crt, .pem, .p12),
     21	proceed anyway (y/n) [n]? y
     22	
     23	Do you really want to remove these files (y/n) [n]?
     24	
     25	A certificate request /usr/local/ssl/csr/e64nc17fpm.hiro.corp.csr already exists.
     26	Remove previously generated files (.csr, .crt, .pem, .p12),
     27	proceed anyway (y/n) [n]? n
     28	The certificate /usr/local/ssl/newcerts/e64nc17fpm.hiro.corp.crt already exists.
     29	Remove previously generated files (.crt, .pem, .p12),
     30	proceed anyway (y/n) [n]?
     31	
     32	The DH parameters file /usr/local/ssl/newcerts/e64nc17fpm.hiro.corp.dh
     33	does already exist, proceed anyway (y/n) [n]?
     34	Press ENTER to continue
     35	
     36	The certificate /usr/local/ssl/certs/e64nc17fpm.hiro.corp.pem
     37	does already exist, proceed anyway (y/n) [n]?
     38	creating symbolic link 'apache.pem' -> 'e64nc17fpm.hiro.corp.pem' ...
     39	Press ENTER to continue
     40	activating modules...
     41	done activating modules
     42	 * Restarting Apache ...
     43	httpd not running, trying to start                                       [ OK  ]
     44	Press ENTER to continue
------------------------------------------------------------------------------------------------------

Danach ist
	- apache.pem (als Link) erstellt/vorhanden,
	- wird korrekt in "certs" -> Manager certificates -> 16 korrekt angezeigt
	- und apache2 wird gestartet und ist "running"

Jetzt kommt noch php7-fpm und php7-cli (und Nextcloud natürlich)

Anmerkung zur Konfigurationen oben:
Diese Abfragen "proceed anaway" war mir zunächst nicht klar. Ist ganz abbrechen gemeint oder soll nur der Jeweilige 
Zertifikats-Zustand gelöscht (u. ggf. neu erzeugt werden)? ich habe in 21 mal mit "Y" geprüft. Es ist offensichtlich letzteres 
gemeint.

Falls noch kein Server-Zertifikat und kein apache.pem Link vor der Apache2-Config vorhanden ist und die Apache2-Config selbst 
ein Serverzertifikat erzeugt, sollte man beachten, dass dieses Zertifikat noch nicht vollständig konfiguriert und daher ungültig 
ist.

Grüße. / Hilmar.