Änderung der Einstellungen für LE Cert Erstellung

[carsteng]

Hallo,

Frage 1:

wir sind gerade dabei einige Zertifikate auf 3072 Bit umzustellen. Jetzt wollten wir dies auch für das LE Zertifikat machen. Die CA ist schon auf 3072 Bit umgestellt, neue Zertifikate werden aber immer noch mit 2048 Bit erzeugt. Wie ist hier das richtige Vorgehen, um Zertifikate mit 3072 zu erzeugen?

Muss hier das aktuelle Zertifikat komplett gelöscht und dann neu angelegt werden?


Frage 2:

Das Webinterface der UTM nutzt ebenfalls das LE Zertifikat. Wenn eine Löschung des Zertifikates notwendig ist, würden wir uns quasi aus der UTM Weboberfläche ausperren? Also wechsel ich zuvor auf ein selbst signiertes Zertifikat und nach erfolgreicher Generierung wieder zurück auf das LE Zertifikat?

Danke für die Hilfe 

[carsteng]

Keiner ne Idee?

[Mario]

Moin!

Theoretisch könnte man sich aus dem Webinterface ausperren, ich bin mir aber sicher, das auf Verwendung geprüft wird. Solange man per SSH auf die UTM kommt wäre das aber lösbar.

system generate webservercert

Und dann muss in der extc variable geschaut werden, ob dort noch ein Eintrag ist:

Code: Alles auswählen

extc value get application webserver
application|variable           |value
-----------+-------------------+-----
webserver  |ADMIN_PORT         |11115
           |CIPHER_LIST        |     
           |CRYPTO_OVERRIDE    |1    
           |DHPARAM_LENGTH     |-1   
           |ECDHE_CURVE        |-1   
           |REDIRECTOR_PORT    |55555
           |TLS_VERSION_MAX    |1.3  
           |TLS_VERSION_MIN    |1.3  
           |USER_PORT          |443  
           |USE_ECDHE          |1    
           |USE_HTTP2          |0    
           |USE_LDAP           |0    
           |WEBUI_CERT_ID      |ID des Zertifikates  
           |WEBUI_FALLBACK_CERT|/data/nginx/cert.pem

Bin nicht sicher ob man den komplett leeren muss. Idealerweise entfernt man das vorliegende Zertifikat in den Einstellungen das, bevor man das Zertifikat einfach löscht.

Mein LE-Zertifikat ist übrigens mit einer Schlüssellänge von 4096 vorliegend. Bedeutet das ist bei Erstellen des Zertifikates anzugeben. Nachträglich wird sich das wohl nicht anpassen lassen.

[carsteng]

Bin nicht sicher ob man den komplett leeren muss. Idealerweise entfernt man das vorliegende Zertifikat in den Einstellungen das, bevor man das Zertifikat einfach löscht.


Mein LE-Zertifikat ist übrigens mit einer Schlüssellänge von 4096 vorliegend. Bedeutet das ist bei Erstellen des Zertifikates anzugeben. Nachträglich wird sich das wohl nicht anpassen lassen.

Ja, genau das wäre mein Vorhaben gewesen. Wieder zum selbst-signierten Zertifikat wechseln und dann das LE Cert löschen und mit den neuen Werten neu generieren. Kann hier der gleiche Token erneut verwendet werden oder gibt es hier Probleme?

Ich werde noch bis zur 14.1 warten, da ich gerne Elliptic Curve verwenden würde.

[carsteng]

Mein LE-Zertifikat ist übrigens mit einer Schlüssellänge von 4096 vorliegend. Bedeutet das ist bei Erstellen des Zertifikates anzugeben. Nachträglich wird sich das wohl nicht anpassen lassen.

Sorry, dass ich nochmal nachhake. Ich habe den letzten Satz überlesen. Es ist also nicht möglich von Seiten Let's Encrypt das selbe Zertifikat noch einmal mit anderen Einstellungen neu generieren zu lassen? Ich weiß leider nicht wie das Let's Encrypt handhabt. Dann könnte ich mir den ganzen Aufwand auch sparen 

[Mario]

Es müsste ein neues erzeugt werden und das Alte entfernt werden, schätze ich.

[carsteng]

Wollte hier nur ein kurzes Update geben:

Der beschrieben Ablauf funktioniert tadellos. Webserver auf anderes Zertifikat ändern -> LE Zertifikat wiederufen -> Neues LE Zertifikat mit neuen Einstellungen und bestehendem Account erneut beantragen. Wenn gültig: Webserver/Reverse Proxy(evtl. weitere Dienste) Zertifikate wieder auf LE umstellen. Läuft