HTTPS-Zertifikate von Let’s Encrypt auf AppTec360 EMM

Admin-Tipps | Posted by SYMPLASSON | 15 Dezember 2017
HTTPS-Zertifikate von Let’s Encrypt auf AppTec360 EMM

Kostenlose SSL-Zertifikate von Let’s Encrypt erfreuen sich wachsender Beliebtheit. Für die populären Webserver Apache und Nginx gibt es mit certbot einen einfachen und „offiziellen“ Weg, die Zertifikate automatisch einzubinden und zu erneuern. Auch für den IIS unter Windows findet man zahlreiche Tools. Zertifikate werden aber nicht nur auf „gewöhnlichen“ Webservern eingesetzt, sondern auch auf anderen Systemen wie z.B. Appliances zur Verwaltung von Mobilgeräten (Mobile Device Management).

Heute stellen wir eine Anleitung vor, mit der Sie Zertifikate von "Let’s Encrypt" für die Enterprise Mobile Manager (EMM) Appliance von AppTec360 verwenden können, inkl. automatischer Erneuerung der Zertifikate jeweils 30 Tage vor Ablauf.

Installation und erstmalige Ausstellung eines Zertifikats

  1. Öffnen Sie ein Terminal

  2. Installieren Sie dann den Certbot:



  3. Vorübergehend beenden Sie nun den Apache:

    sudo /opt/lampp/lampp stopapache​

     

  4. Zertifikat-Erstellung 
    Achten Sie darauf, IHREN Domain-Namen einzufügen!
    sudo ./certbot-auto certonly --standalone --standalone-supported-challenges tls-sni-01 -d mobile.FIRMA.TLD -d enterpriseenrollment.mobile.FIRMA.TLD
    Es muss eine Email-Adresse angegeben werden!
    Hierüber erhält man ggf. Warnungen, wenn das automatische Erneuern des Zertifikats (siehe unten) nicht funktioniert bzw. nicht genutzt wird und das Zertifikat ausläuft. Außerdem kann hierüber das vom Script für das Zertifikat erstellte Kennwort geändert werden, sollte einem die entsprechende Datei einmal abhandenkommen. Außerdem muss manuell/interaktiv den Terms Of Service zugestimmt werden.

  5.  Starten Sie nun wieder den Apache:

    sudo /opt/lampp/lampp startapache​

     

  6. Kopieren Sie die Zertifikatsdateien auf den Desktop:
    Achten Sie weiterhin darauf, IHREN Domain-Namen einzufügen!

    sudo cp /etc/letsencrypt/live/mobile.FIRMA.TLD/* /home/apptec/Desktop/​

     

  7. Wechseln Sie zur grafischen Oberfläche. Um diese neu zu starten, müssen Sie ggf. im Firefox http://apptec.conf aufrufen

  8. Klicken Sie auf „2 // STEP TWO / SSL Configuration“ 

  9. Klicken Sie unter „SSL Certificate Summary“ auf „Renew SSL Certificate“ und dann auf „Browse…“ und wählen Sie vom Desktop die Datei „cert.pem“ aus. Danach klicken Sie auf „Open“ und dann auf „Upload Certificate“.

  10. Direkt darunter klicken Sie unter „Private Key“ auf „Renew Certificate Private Key“ und dann auf „Browse…“ und wählen Sie vom Desktop die Datei „privkey.pem“ aus. Danach klicken Sie auf „Open“ und dann auf „Upload Private Key“.

  11. Direkt darunter klicken Sie unter „SSL Intermediate Certificate Summary“ auf „Renew SSL Intermediate Certificate“ und dann auf „Browse…“ und wählen Sie vom Desktop die Datei „chain.pem“ aus. Danach klicken Sie auf „Open“ und dann auf „Upload Certificate“.

  12. Direkt darunter klicken Sie unter „Windows Enrollment Certificate Summary“ auf „Renew Windows Enrollment SSL Certificate“ und dann auf „Browse…“ und wählen Sie vom Desktop die Datei „cert.pem“ aus. Danach klicken Sie auf „Open“ und dann auf „Upload Certificate“.

  13. Direkt darunter klicken Sie unter „Private Key“ auf „Renew Certificate Private Key“ und dann auf „Browse…“ und wählen Sie vom Desktop die Datei „privkey.pem“ aus. Danach klicken Sie auf „Open“ und dann auf „Upload Private Key“.

  14. Direkt darunter klicken Sie unter „Windows Enrollment SSL Intermediate Certificate Summary“ auf „Renew Windows Enrollment SSL Intermediate Certificate“ und dann auf „Browse…“ und wählen Sie vom Desktop die Datei „chain.pem“ aus. Danach klicken Sie auf „Open“ und dann auf "Upload Certificate“.

  15. Klicken Sie auf „5 // STEP FIVE / License Agreement“ 

  16. Setzen Sie den Haken neben „I Agree“ 

  17. Und klicken Sie auf „Configure Appliance“ 

  18. Prüfen Sie nun, ob die Appliance erreichbar ist - ohne Zertifikatsfehler und mit neuem Let’s Encrypt-Zertifikat - über folgende Adressen:
    1. https://mobile.FIRMA.TLD
    2. https://enterpriseenrollment.mobile.FIRMA.TLD
    3. https://mobile.FIRMA.TLD:8080

      Achten Sie darauf, IHREN Domain-Namen einzufügen!


  19. Löschen Sie dann die Dateien von Ihrem Desktop

    Automatisches Erneuern des Zertifikats dreißig Tage vor Ablauf einrichten:

  20. Öffnen Sie ein Terminal

  21. Öffnen Sie die Script-Datei mit einem Editor Ihrer Wahl, z.B.:

    sudo nano /opt/lets-renew-apptec
    sudo vim.tiny /opt/lets-renew-apptec
     
  22. Schreiben Sie nun folgenden Inhalt in die Script-Datei:
    Achten Sie darauf, IHREN Domain-Namen einzufügen!

    #!/bin/sh 
    cp /etc/letsencrypt/live/mobile.FIRMA.TLD/cert.pem /opt/console/application/uploads/config/1cert.pem
    cp /etc/letsencrypt/live/mobile.FIRMA.TLD/cert.pem /opt/console/application/uploads/config/5cert.pem
    cp /etc/letsencrypt/live/mobile.FIRMA.TLD/chain.pem /opt/console/application/uploads/config/2chain.pem
    cp /etc/letsencrypt/live/mobile.FIRMA.TLD/chain.pem /opt/console/application/uploads/config/6chain.pem
    cp /etc/letsencrypt/live/mobile.FIRMA.TLD/privkey.pem /opt/console/application/uploads/config/3privkey.pem
    cp /etc/letsencrypt/live/mobile.FIRMA.TLD/privkey.pem /opt/console/application/uploads/config/7privkey.pem
    /opt/console/application/configs/runconfig
    ​

     

  23. Speichern Sie die Datei

  24. Machen Sie dann die Script-Datei ausführbar:

    sudo chmod +x /opt/lets-renew-apptec​

     

  25. Öffnen Sie Crontab in einem Editor der Wahl  ([Enter] für nano, [3] und dann [Enter] für vim):

    sudo crontab -e​

     

  26. Legen Sie den Eintrag zum automatischen Erneuern des Zertifikats an, indem Sie eine Zeile ans untere Ende der Datei anhängen.
    Hier bitte wieder drauf achten, dass der Code komplett in einer Zeile steht!
    Das Zertifikat wird 1x täglich um 13:37 Uhr geprüft, ob es erneuert werden muss. Ggf. sollten Sie den Zeitpunkt über die Zahlen am Anfang der Zeile anpassen! Falls eine Erneuerung erforderlich ist, wird der AppTec-Webserver automatisch kurz gestoppt und neu gestartet:

    37 13 * * * /home/apptec/.local/share/letsencrypt/bin/letsencrypt renew --noninteractive --pre-hook "/opt/lampp/lampp stopapache" --post-hook "/opt/lets-renew-apptec"

     

  27. Speichern Sie die Datei und beenden Sie den Editor

  28. Legen Sie einen Ordner für das Troubleshooting-Script an

    mkdir /home/apptec/bin
     
  29. Öffnen Sie das Troubleshooting-Script mit einem Editor Ihrer Wahl, z.B.:

    nano /home/apptec/bin/updatecert
    vim.tiny /home/apptec/bin/updatecert
    ​

     

  30. Schreiben Sie nun folgenden Inhalt in die Script-Datei:

    #!/bin/sh 
    sudo /home/apptec/certbot-auto renew --noninteractive --pre-hook "/opt/lampp/lampp stopapache" --post-hook "/opt/lets-renew-apptec"
    ​

     

  31. Speichern Sie die Datei

  32. Machen Sie die Script-Datei ausführbar:

    chmod +x /home/apptec/bin/updatecert​

     

  33. Melden Sie den Benutzer in der grafischen Oberfläche ab- und wieder an. Alternativ starten Sie die Appliance neu.

 

Troubleshooting

Wenn das automatische Erneuern des Zertifikats nicht mehr funktioniert, nachdem über die grafische Oberfläche versehentlich manuell ein Zertifikat ausgetauscht wurde wiederholen Sie die Schritte 6 bis 19.

Wenn das automatische Erneuern des Zertifikats aus anderen unbekannten Gründen nicht mehr funktioniert, öffnen Sie bitte ein Terminal und führen den Befehl "updatecert" aus. Ggf. müssen Sie hier auf Fehlermeldungen reagieren!

Wir empfehlen Ihnen dringend, das Ablaufdatum des Zertifikats zu überwachen!

Es ist leider nicht ganz auszuschließen, dass "Let’s Encrypt" oder "AppTec360"-Anpassungen an Ihrer Software oder den Schnittstellen vornehmen, wodurch die Funktion der oben vorgestellten Lösung beeinträchtigt wird. Da die Zertifikate 30 Tage vor Ablauf automatisch erneuert werden, empfehlen wir einen Warnschwellenwert von 28 Tagen.


Sie haben Fragen?

Kontaktieren Sie uns gerne oder rufen Sie einfach an:

Martin Lormes

Martin Lormes

Telefon: +49 40 533071-0

Kontakt Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!