[Anleitung] Let's Encrypt Zertifikate erstellen und erneuern

tombox

Lets Encrypt funktioniert ab js-controller 3.2 und aktuellem web und socket.io adapter. Hier eine kurze Anleitung wie man es aktiviert

Vorbereitung:
Im Schraubenschlüssel unter Lets Encrypt SSL deine email und deinen host eintragen

In der web Instanz Verschlüsselung und Lets Encrypt und Update aktivieren

Lets Encrypt in der Fritzbox deaktivieren

Port Forwarding Port 80 aktivieren:

FERTIG

---

---

---

Bei dem Fehler

Malformed HTTP Header

Liegt das Problem dass die externe Https URL nicht über Standard Port 443 erreichbar ist. Ihr müsst den Port auf 443 ändern. Das ist leider eine Einschränkung des neuen js-controllers 3.2

---

---

---

---

Bei dem Fehler

EACCES: permission denied, open '/opt/iobroker/iobroker-data/letsencrypt/config.json.1901ad2f977b314a.tmp'
Fatal error during greenlock init:
`packageRoot` should be the root of the package (probably `__dirname`)

 Cannot create webserver: SyntaxError: Unexpected end of JSON input

hilft:

sudo rm -rf /opt/iobroker/iobroker-data/letsencrypt

und web instanz neustarten

---

---

---

---

---

---

Falls es nicht nativ in ioBroker funktioniert hier eine kurze Anleitung wie es trotzdem funktioniert.

Vorbereitung:
Im Schraubenschlüssel unter Lets Encrypt SSL deine email und deinen host eintragen

In der web Instanz Verschlüsselung und Lets Encrypt aktivieren, aber Updates deaktivieren

Lets Encrypt in der Fritzbox deaktivieren

Port Forwarding Port 80 aktivieren:

Die folgende Befehle wurden unter Raspberry Debian Buster getestet:

SNAP Anleitung folgen:

sudo apt-get remove certbot
sudo apt-get install snapd
sudo snap install core; sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot


**Zertifikat beantragen yourdomain.de mit deiner domain ersetzen**

rm -rf /opt/iobroker/iobroker-data/letsencrypt
sudo certbot certonly --config-dir  /opt/iobroker/iobroker-data/letsencrypt --standalone --agree-tos --preferred-challenges http -d yourdomain.de

EMAIL Adresse eingeben
Y Enter
Y Enter

sudo chmod -R 755 /opt/iobroker/iobroker-data/letsencrypt/

ioBroker web Instanz neustarten

CronJob erstellen damit er versucht alle 5 Tage das Zertifikat erneuert.

crontab -l | { cat; echo "* * */5 * *  sudo certbot renew --renew-hook 'iobroker restart web.0' --renew-hook 'iobroker restart web.1'"; } | crontab -

Mit crontab -e kann man den job wieder entfernen
Manuell kann man das Zertifikat erneuern:
sudo certbot renew --renew-hook 'iobroker restart web.0' --renew-hook 'iobroker restart web.1'

UncleSam

Der ioBroker js-controller 3.2 wird Let's Encrypt wieder unterstützen. Wir suchen Tester, die bereit wären, die Beta-Version des js-controllers 3.2 zu testen und uns zu berichten, ob die Ausstellung von Let's Encrypt Zertifikaten wieder wie gewünscht funktioniert.

Wer bereit ist, dies zu testen und sich der Risiken einer Beta-Version des js-controllers bewusst ist, soll sich doch bitte im folgenden Thema schlau machen und auch dort melden: https://forum.iobroker.net/topic/40725/beta-test-js-controller-3-2-x-auf-github

wrod

@tombox Warum sollte man letsencrypt in der Fritz!Box deaktivieren? Der Rest des Systems soll ja auch diese Sicherheit haben. Geht nicht beides?

tombox

@wrod Meiner Erfahrung nicht da letsencrypt port 80 zum bestätigen und verlängern braucht wenn man lets encrypt in der fritzbox aktiviert dann geht das nicht mehr für iobroker. aber man könnte auch die lets encrypt url von fritzbox nehmen aber macht manchmal probleme

wrod

@tombox OK, muss ich mal probieren.

Badger

Ich kann in den Systemeinstellungen unter Lets Encrypt bei Mail, Domäne und Pfad nichts eingetragen. Ich kann in die Felder klicken. Nur wenn ich was reinschreibe passiert einfach nichts.
System ist komplett up-to-date. Probiert mit mehreren Browsern.
Was mache ich da falsch?

Danke für eure Hilfe.

Badger

Nur das ist das jetzt richtig verstehe:
Wenn ich jetzt z.b. ein Zertifikat für meine Web-Instanz machen will (die auf Port 8082 läuft) brauche ich:

• eine Portweiterleitung von Port 80 auf den iobroker:8082
• und eine Portweiterleitung von Port 443 auf den iobroker:8082?

Ist das so korrekt?

Grüße
Patrick

tombox

@badger Nein Portweiterleitung von port 80 auf iobroker:80 uns 443 auf 8082 wenn malformed http header dann geht nur 443 auf 443

Hal10000

@tombox
Ich versuche gerade die Let's encrypt Zertifikate in iobroker zum laufen zu bekommen und hätte ein paar Fragen.

1. Ich finde in meiner FritzBox (FritzOS 7.5) keine Einstellungen für Let's Encrypt. Ist es überhaupt noch notwendig?
2. Wie finde ich heraus ob es geklappt hat?

Sun_Dancer78

Hallo Community,

ich versuche verzweifelt letsencrypt einzurichten.
ich bekomme immer folgende Fehlermeldung im log für die web instance:

und für die admin instance diese:

ich hatte letsencrypt im admin adapter aktiviert, sowie auch im web adapter. natürlich nicht gleichzeitig.
In der Systemeinstellung habe ich habe ich die letsencrypt Einstellungen ebenfalls vorgenommen. Allerdings bin ich mir unsicher bei Domain. Mein Host auf dem ioBroker läuft heist iobroker. iobroker als Domain wird nicht akzeptiert. also habe ich iobroker.fritz.box daraus gemacht.
In der FritzBox habe ich Port 80 freigegeben.

Ich finde einfach nicht heraus, was ich falsch mache. Habt Ihr evtl. paar Tipps für mich?

tombox

@sun_dancer78 Ich bin nicht sicher ob diese interne url funktioniert sondern nur externe urls.