Wildcard Zertifikat mit Let’s Encrypt

Let’s Encrypt hatte ich ja schonmal hier im Blog und benutzte es immer noch für diverse Subdomains wie den Blog oder Cloud oder E-Mails und eben auch die Veröfflichung des Heimischen Smart Home Steuerung ins Internet.
Es war immer nervig, alle 90 Tage das Zertifikat auszutauschen, weil das auf eine andere Quelle abzielt als die restlichen Subdomains.
Fritz!Box -> Portfreigabe 80 auf Pi -> Zertifkat starten -> Portfreigabe entfernen usw …

Wie ich heute mitbekommen habe, hat Let’s Encrypt nun das Feature veröffentlich Wildcards zu erstellen, im Internet konnte ich dazu kein Tutorial bzw. Befehl finden, deshalb hier mal für Leute, die auch danach suchen gehen:

./letsencrypt-auto certonly –rsa-key-size 4096 –agree-tos -d *.domain.tld –server https://acme-v02.api.letsencrypt.org/directory –authenticator manual

Authentifizieren muss man sich dann über ein TXT Record im DNS
Ablauf ist wie folgt:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
 Plugins selected: Authenticator manual, Installer None
 Obtaining a new certificate
 Performing the following challenges:
 dns-01 challenge for unixa.de
------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you're running certbot in manual mode on a machine that is not your server, please ensure you're okay with that.
 Are you OK with your IP being logged?
 ------------------------------------------------------
 (Y)es/(N)o: yes
 ------------------------------------------------------ 
Please deploy a DNS TXT record under the name
 _acme-challenge.unixa.de with the following value: 
ZENSIERT - Hier könnte ihr Code stehen
Before continuing, verify the record is deployed.
------------------------------------------------------ 
Press Enter to Continue
 Waiting for verification...
 Cleaning up challenges IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/unixa.de/fullchain.pem
 Your key file has been saved at:
 /etc/letsencrypt/live/unixa.de/privkey.pem
 Your cert will expire on 2018-06-12. To obtain a new or tweake.
 version of this certificate in the future, simply run
 letsencrypt-auto again. To non-interactively renew *all* of your
 certificates, run "letsencrypt-auto renew"

Das wars – Zertifikat noch in Configdateien abändern (einmalig, den rest machen Links) und schon hat man ein Zertifikat für alle Domains.
Für den externen Pi einfach das generierte Zertifikat drauf laden und schon läuft das auch mit nur einem Zertifikat.
Ich habe lange auf das Feature gewartet, danke Let’s Encrypt!

ownCloud vs. Nextcloud

Ich bin heute mit meiner Cloud von ownCloud auf NextCloud migriert.

Im Vorfeld habe ich einige Berichte und Vergleiche zu diesem Thema gelesen, die alle eine Migration vorgeschlagen haben.

Es wurde unter anderem genannt, dass NextCloud für Entwickler den Vorteil hat, da hier die Lizenzstruktur klar definiert ist und nicht so schwammig, wie bei ownCloud.

Desweiteren ist auch eine Vollständige Abwärtskompatibilität gegeben. Sämtliche von mir Installierten Apps auf der ownCloud, funktionieren nun auch noch in der NextCloud.
Die Migration ist auch denkbar einfach, es wird einfach als Update über die ownCloud kopiert und anschließend als Update installiert.

Ich habe mir aber gleich die NextCloud App für das iPhone geladen um die vollen Vorteile der Migration auszutesten und ich muss sagen, die NextCloud-App ist der ownCloud-App meilenweit voraus.

Die App hat Features, die ich in der ownCloud-App vermisst habe.
z.B. kann man in der NextCloud-App den Pfad für die Instant Uploads angeben. Des weiteren bietet die App Ordnersychnronisierung von Haus aus an, hierfür brauchte man bei ownCloud eine separate App.

Alles in allem kann ich auch die Migration auf NextCloud empfehlen.

SSL mit letsencrypt

Wie euch eventuell aufgefallen ist, ist mein Blog diesmal mit SSL.
Zu der Zeit von meinem alten Blog, gab es das letsencrypt-Projekt noch nicht und ein kommerzielles SSL-Zertifikat ist preislich einfach uninteressant.

Aus diesem Grund finde ich letsencrypt einfach ein Projekt, dass es sich lohnt, zu fördern.

Es ist auch auf einem Server echt einfach zu installieren, da es dafür für die gängigsten Derivate Repositorys gibt.

Einzige negative, was mir bisher an der Sache aufgefallen ist, ist die kurze Laufzeit von Zertifikaten, was sich jedoch auch über den cron-job automatisieren lässt.

Alles in allem ein sehr schönes Projekt mit Zukunft.