Froxlor erstellt seit November 2017 kein SSL/TLS Zertifikat mehr

Der Cron/usr/bin/php /var/www/froxlor/scripts/froxlor_master_cronjob.php --letsencrypt 1  spuckt Fehlermeldungen aus, u.a.:

Could not get Let’s Encrypt certificate for <domain> etc.

Lösung, Let’s Encrypt hat das Agreement erneuert. Die Datei lib/classes/ssl/class.lescript.php (ausgehend vom Froxlor Heimatverzeichnis) in Zeile 32 ändern in:

public $license = 'https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf';

 

SSL/TLS Zertifikate von SMTP, IMAP, POP3 und FTP Diensten überprüfen

Validierung des Zertifikats eines MTA’s (Mail Transfer Agent) / SMTP:

openssl s_client -host <Hostname> -port 25 -starttls smtp

… und auf Gültigkeit:

openssl s_client -host <Hostname> -port 25 -starttls smtp | openssl x509 -noout -dates

Validierung des Zertifikats eines POP3 Servers (Post Office Protocol):

openssl s_client -crlf -host <Hostname> -port 995

… und auf Gültigkeit:

openssl s_client -crlf -host <Hostname> -port 995 | openssl x509 -noout -dates

Validierung des Zertifikats eines IMAP Servers (Internet Message Access Protocol):

openssl s_client -crlf -host <Hostname> -port 993

… und auf Gültigkeit:

openssl s_client -crlf -host <Hostname> -port 993 | openssl x509 -noout -dates

Validierung des Zertifikats eines FTP Servers (File Transfer Protocol):

openssl s_client -connect <Hostname>:21 -starttls ftp

… und auf Gültigkeit:

openssl s_client -connect <Hostname>:21 -starttls ftp| openssl x509 -noout -dates

Zertifikat in PKCS12 umwandeln

Folgende Dateien werden benötigt, um ein Zertifikat in das PKCS12 Format umzuwandeln:

  • das Zertifikat .crt
  • den privaten Schlüssel .key, der mit dem CSR erstellt wurde und zum Zertifikat gehört
  • optional ein Zwischenzertifikat oder CA Certificate

Der Inhalt der Zwischenzertifikate (Intermediate/CA Certificate) wird an das eigentliche Zertifikat .crt mit einem Editor z.B. vi an das Ende angefügt.

Jetzt wird das gebündelte Zertifikat .crt  und der private Schlüssel .key mit openssl zu einer .p12 Datei zusammengefasst:

openssl pkcs12 -export -in Mein-Zertifikat.crt -inkey Mein-Privater-Schluessel.key -out Meine-Neue-Datei.p12

Die erzeugte .p12 Datei enthält jetzt das Zertifikat und den privaten Schlüssel.

Möchte man Zwischenzertifikate (Intermediates) nachträglich hinzufügen:

openssl pkcs12 -export -inkey Mein-privater-Schluessel.key -in Mein-Zertifikat.crt -out Meine-bestehende-Datei.p12 -chain -CApath /etc/ssl/certs