{"id":1622,"date":"2016-11-13T18:00:00","date_gmt":"2016-11-13T17:00:00","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=1622"},"modified":"2016-11-13T17:41:05","modified_gmt":"2016-11-13T16:41:05","slug":"ejabberd-mit-lets-encrypt-zertifikat","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/ejabberd-mit-lets-encrypt-zertifikat\/","title":{"rendered":"ejabberd mit Let’s Encrypt Zertifikat"},"content":{"rendered":"

In diesem Artikel wird dokumentiert, wie ein Let’s Encrypt[1. https:\/\/letsencrypt.org\/<\/a> {en}] [2. Let’s Encrypt – Wikipedia<\/a>] Zertifikat f\u00fcr ejabberd eingerichtet werden kann. Dabei st\u00fctze ich mich auf mein TLS-Kochbuch[3. TLS\/SSL Kochbuch: Rezepte f\u00fcr die Verwendung von OpenSSL, HTTP Strict Transport Security (HSTS) und HTTP Public Key Pinning (HPKP)<\/a>].<\/p>\n

Die Dokumentation bezieht sich dabei auf meine konkrete Installation und ist nicht ohne Transferleistung auf andere Installationen \u00fcbertragbar. Es ist also keine Schritt-f\u00fcr-Schritt-Anleitung! Der Artikel bietet \u00fcber die Dokumentation hinaus jedoch auch Hintergrundinformationen und Wissenswertes f\u00fcr abweichende Konfigurationen.<\/p>\n

Ausgangssituation<\/h2>\n

In meiner Umgebung ist ejabberd auf einem Ubuntu Server 14.04 LTS[4. Trusty Tahr – wiki.ubuntuusers.de<\/a>] installiert und nutzt ein TLS-Zertifikat von CAcert[5. https:\/\/www.cacert.org\/<\/a> {en}] [6. CAcert – Wikipedia<\/a>].<\/p>\n

Au\u00dfer ejabberd l\u00e4uft auf dem Server auch noch ein Webserver, welcher verschiedene Webseiten ausliefert.<\/p>\n

Daneben ist bereits der Let’s Encrypt Client acme-tiny[7. Fork des acme-tiny Clients auf GitHub<\/a> {en}] installiert, dessen Verwendung in Abschnitt 3.6.2 TLS-Kochbuch erl\u00e4utert wird.<\/p>\n

Der Ablauf im \u00dcberblick<\/h2>\n

Wie vorstehend bereits erw\u00e4hnt, verwendet ejabberd bereits ein TLS-Zertifikat, welches nun durch ein Let’s Encrypt Zertifikat ersetzt werden soll. Der Ablauf gliedert sich dabei im Wesentlichen in zwei Teile. Zuerst wird ein Let’s Encrypt Zertifikat f\u00fcr den Hostnamen des ejabberd-Servers ausgestellt. Anschlie\u00dfend wird ejabberd konfiguriert, um zuk\u00fcnftig dieses Zertifikat zu nutzen.<\/p>\n

Zur Durchf\u00fchrung der Domainvalidierung wird ein VirtualHost f\u00fcr den Hostnamen des ejabberd-Servers konfiguriert. Da sich die genaue Konfiguration je nach verwendeter Webserver-Software unterscheidet, wird hier nicht n\u00e4her darauf eingegangen, sondern auf die Dokumentation des jeweiligen Webservers verwiesen.<\/p>\n

Generierung des TLS-Zertifikats<\/h3>\n

Nun wird mit Hilfe von OpenSSL[8. OpenSSL: Cryptography and SSL\/TLS Toolkit<\/a> {en}] [9. OpenSSL – Wikipedia<\/a>] ein privater Schl\u00fcssel und eine Zertifikatsanfrage (engl. Certificate Signing Request (CSR)) erstellt. Beide Schritte werden ausf\u00fchrlich in Abschnitt 3.1 TLS-Kochbuch<\/a> beschrieben.<\/p>\n

Ich pers\u00f6nlich generiere den privaten Schl\u00fcssel und den CSR stets offline auf einem sicheren Computer. Anschlie\u00dfend lade ich sie zum Server hoch. Die Zugriffsrechte auf den Schl\u00fcssel sind so eingeschr\u00e4nkt, dass nur root und der Benutzer, unter dem der Webserver ausgef\u00fchrt wird, diesen Schl\u00fcssel lesen d\u00fcrfen.<\/p>\n

Da bereits eine Installation von acme-tiny auf dem Server existiert und bereits ein Account-Key erstellt wurde, wird dieser in dem Verzeichnis verlinkt, in dem auch der private Schl\u00fcssel und der CSR liegen.<\/p>\n

Nun kann das TLS-Zertifikat angefordert werden. Wie dies im Detail funktioniert, wird in Abschnitt 3.6.2 im TLS-Kochbuch<\/a> beschrieben.<\/p>\n

Sind bis hier alle Schritte erfolgreich gewesen, liegen nun Schl\u00fcssel und Zertifikat in einem Verzeichnis vor.
\n
\n$ python acme-tiny\/acme_tiny.py --account-key \/var\/www\/sites\/ssl\/account.key --csr \/var\/www\/sites\/ssl\/request.csr --acme-dir \/var\/www\/sites\/public\/.well-known\/acme-challenge\/ > \/var\/www\/sites\/ssl\/cert.crt
\nParsing account key...
\nParsing CSR...
\nRegistering account...
\nAlready registered!
\nVerifying fqdn...
\nfqdn verified!
\nSigning certificate...
\nCertificate signed!<\/code><\/p>\n

$ ls -l \/var\/www\/sites\/ssl\/
\n-rw-r—– 4 root root account.key
\n-rw-r—– 1 root www-data cert.crt
\n-rw-r—– 1 root root priv.key
\n-rw-r—– 1 root root request.csr<\/p>\n

Zertifikat f\u00fcr ejabberd pr\u00e4parieren<\/h3>\n

Der Dienst ejabberd erwartet, dass der private Schl\u00fcssel, das Zertifikat und die Zertifikatskette in einer Datei \u00fcbergeben werden.[10. Ejabberd SSL Certificate – Raymii.org<\/a> {en}] Dazu wird noch die Zertifikatskette von Let’s Encrpyt[11. Let’s Encrypt: Chain of Trust<\/a> {en}] heruntergeladen und ebenfalls in \/var\/www\/sites\/ssl\/<\/em> gespeichert.<\/p>\n

Das folgende Skript zeigt, wie das Zertifikat erzeugt, die Zertifikatsdatei f\u00fcr ejabberd zusammengesetzt und der Dienst neugestartet wird:
\n
\n#!\/bin\/bash
\n# Datum: 2016-11-13
\n# Autor: Joerg Kastning <webmaster(aet)my-it-brain(Punkt)de>
\n#
\n# Beschreibung:
\n# Dieses Skript dient der Erneuerung des TLS-Zertifikats fuer
\n# jabber.my-it-brain.de \u00fcber Let's Encrypt mit dem Client acme-tiny-by-frezbo.<\/p>\n

DIR='\/var\/www\/sites\/ssl'<\/p>\n

# Erneuerung des Zertifikats
\npython acme-tiny-by-frezbo\/acme_tiny.py --account-key ${DIR}\/account.key --csr ${DIR}\/request.csr --acme-dir \/var\/www\/sites\/fqdn\/.well-known\/acme-challenge\/ > ${DIR}\/cert.crt<\/p>\n

# Erzeugung der Zertifikatsdatei fuer ejabberd
\ncat ${DIR}\/priv.key ${DIR}\/cert.crt ${DIR}\/lets-encrypt-x3-cross-signed.pem >${DIR}\/ejabberd_cert.pem<\/p>\n

sudo chown root:ejabberd ${DIR}\/ejabberd_cert.pem
\nsudo chmod 0640 ${DIR}\/ejabberd_cert.pem
\nsudo mv ${DIR}\/ejabberd_cert.pem \/etc\/ejabberd\/ejabberd_cert.pem<\/p>\n

# Neustart von ejabberd
\nsudo service ejabberd restart
\n<\/code><\/p>\n

Abschluss der Migration<\/h2>\n

Durch den im vorangegangenen Abschnitt dargestellten Code wird das neue Let’s Encrypt Zertifikat an der gleichen Stelle und unter dem gleichen Dateinamen wie das alte Zertifikat abgelegt. Auf diese Weise muss die Konfiguration von ejabberd nicht weiter angepasst werden. Der Dienst l\u00e4dt nach einem Neustart das neue Zertifikat. Die Migration ist damit abgeschlossen.<\/p>\n

Let’s Encrypt Zertifikate besitzen eine G\u00fcltigkeit von 90 Tagen.[12. Let’s Encrypt: Why ninety-day lifetimes for certificates?<\/a> {en}] Um die Erneuerung des Zertifikats zu automatisieren, wird das Skript „SmartRenew.sh“ verwendet (siehe Abschnitt 5.4 im TLS-Kochbuch).<\/p>\n

Quellen und weiterf\u00fchrende Links:<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

In diesem Artikel wird dokumentiert, wie ein Let’s Encrypt[1. https:\/\/letsencrypt.org\/ {en}] [2. Let’s Encrypt – Wikipedia] Zertifikat f\u00fcr ejabberd eingerichtet werden kann. Dabei st\u00fctze ich mich auf mein TLS-Kochbuch[3. TLS\/SSL Kochbuch: Rezepte f\u00fcr die Verwendung von OpenSSL, HTTP Strict Transport Security (HSTS) und HTTP Public Key Pinning (HPKP)]. Die Dokumentation bezieht sich dabei auf meine [Weiterlesen…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[1,51],"tags":[435,436,379,415,430,305,318,417,418],"class_list":["post-1622","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-linux","tag-acme-tiny","tag-ejabberd","tag-lets-encrypt","tag-openssl","tag-osbn","tag-planet","tag-ssl","tag-tls","tag-zertifikate"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1622"}],"version-history":[{"count":12,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1622\/revisions"}],"predecessor-version":[{"id":1634,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1622\/revisions\/1634"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}