kostenfreie TLS-Zertifikate mit Let’s Encrypt

Let’s Encrypt hat seit gut einem Jahr die Testphase verlassen und verteilt fleißig Zertifikate – kostenfrei versteht sich. Wo anfangs in der Testphase “nur” wenige Millionen Zertifikate ausgegeben wurden, ist diese Zahl inzwischen kräftig gewachsen – Tendenz steigend. WordPress und andere Dienste setzen Let’s Encrypt in breitem Maße ein um das Internet ein bisschen besser (sicherer) zu machen.

Neben der reinen Absicherung der Verbindung hilft ein Zertifikat noch beim Ranking und dem lästigen Wegklicken von Sicherheitswarnungen bei selbstsignierten Zertifikaten, beispielsweise bei Testumgebungen. Chrome bemängelt seit der Version 39 auch die Sicherheit von normalen HTTP-Verbindungen und kennzeichnet diese als “nicht sicher”.

Die Zertifikate von Let’s Encrypt sind nicht besser oder schlechter als andere Zertifikate – nur kosten sie nichts und sind nicht so lange gültig – durch Automatismen zur Erneuerung eher ein Vorteil als ein Nachteil. Bei Let’s Encrypt gibt es keine Wildcard- oder EV-Zertifikate, wenn der Wunsch nach diesen besteht, greift man lieber zu kommerziellen Produkten. Auch wenn die Validierung mehr Sicherheiten bringen soll, als eine Domain-Validierung (hier wird ein Hash in einem vhost hinterlegt und von Let’s Encrypt geprüft), wird einem ein kommerzielles Produkt nahe gelegt.

Also eignen sich die Zertifikate für folgende Anwendungsfälle: Basisabsicherung von Diensten, wo sonst keine Verschlüsselung unbedingt notwendig wäre (z. B. WordPress-Blog), Absicherung von Staging-Systemen, Absicherung als kostenfreie Zugabe des Hosters, Absicherung von internen Diensten und zur Absicherung von privaten Websiten.

Aber wie kommt man nun zu den Zertifikaten?

Hier gibt es verschiedene Wege, allerdings gehe ich nur kurz auf die Command-Line basierte Beantragung ein. Dafür wird von Let’s Encrypt selbst der Certbot empfohlen, der bringt alles mit.

Nach dem Download / der Installation des Certbots (hier kommt es auf die Distribution an) kann dieser mittels dem einfachen Aufrufs

./certbot-auto

starten. Jetzt werden die weiteren Abhängigkeiten noch aus dem jeweiligen Paketmanager nachinstalliert. Ein Wizard startet und fragt welche Domains abgesichert werden sollen und ob ein automatischer (sicherer) redirect von HTTP auf HTTPS erfolgen soll (Hierzu werden Rewrite-Rules in der VHost-Config angelegt). Der Rest geht von alleine, eine CSR wird erstellt, ein vhost für die Domain-Validierung wird angelegt, es wird von extern gecheckt, ob der String im vhost erreichbar ist, Zertifikat wird ausgeteilt und gleich eingerichtet.

Achtung, nachdem der Wizard angestoßen wurde, wird mehrfach der Webserver neugestartet und Configfiles verändert. Für eine alternative Beantragung mit mehr Eigenverantwortung bitte die Hinweise zu certonly und webroot lesen.

Zertifikat nur 90 Tage gültig – was tun?

Die TLS-Zertifikate von Let’s Encrypt sind nur 90 Tage gültig. Die Beweggründe hierfür sind unterschiedlich. Aber aus meiner Sicht ist dies ein wesentlicher Sicherheitsvorteil. Damit es zu keinen Zertifikatsfehlern kommt, heißt es hier im richtigen Moment die Erneuerung der Zertifikate anzustoßen. Denn ein neues Zertifikat bekommt man erst kurz vor Ablauf des alten Zertifikates. An dieser Stelle komme ich an die vormals angesprochenen Automatismen zurück. So reicht es eigentlich täglich 1-2x einen Cron laufen zu lassen:

./certbot-auto renew

Durch dieses Kommando schaut der Certbot beim jeweiligen Lauf des Crons, ob das Zertifikat in Kürze abläuft. Wenn ja, wird ein neues Zertifikat beantragt und hinterlegt, wenn nicht meldet sich der Certbot nur mit einer kurzen Meldung im Log:

INFO:certbot.renewal:Cert not yet due for renewal

Auch hier sicherheitshalber nochmal der Hinweis, dass alle Abhängigkeiten beim renew aktualisiert werden (zu vermeiden mit dem –no-self-upgrade Flag). Desweiteren wird auch wieder ein vhost angelegt und der Webserver-Dienst durchgestartet.

Auch unsere Kunden mit komplexen Setups hinter Loadbalancern und HA-Clustern können von Let’s Encrypt profitieren – wir bauen hierzu die passende Lösung.

Freuen wir uns auf die nächsten Jahre, der wichtigste Schritt wurde bereits gemacht. Wer bei uns Kunde ist, kann schon heute von diesem tollen Service profitieren.

Georg Mimietz

Autor: Georg Mimietz

Georg kam im April 2009 zu NETWAYS, um seine Ausbildung als Fachinformatiker für Systemintegration zu machen. Nach einigen Jahren im Bereich Managed Services ist er in den Vertrieb gewechselt und kümmerte sich dort überwiegend um die Bereiche Shop und Managed Services. Seit 2015 ist er als Teamlead für den Support verantwortlich und kümmert sich um Kundenanfragen und die Ressourcenplanung. Darüber hinaus erledigt er in Nacht-und-Nebel-Aktionen Dinge, für die andere zwei Wochen brauchen.

Jetzt neu: OpenVPN auf der AKCP SecurityProbe

akcp securityprobe 5e standard

Für alle AKCP SecurityProbes gibt es ab der Firmware 405J jetzt das OpenVPN Feature.

Mittels Wizzards lässt sich die OpenVPN-Verbindung nun im Handumdrehen über das Webinterface einrichten. AKCP setzt bei den Standards auf: peer Authentication, digitale Zertifikate und eine starke Verschlüsselung mit 256 Bit.

Für Anwendungsfälle mit eingeschränkter Bandbreite wie Remote-Monitoring über GSM, wird die Tunnelung von UDP unterstützt.

Die SecurityProbe eignet sich von daher als großer Ableger (mehr Sensoren, mehr Sensorports, ggf. Kameras) gegenüber der Geräte HWgroup Ares und Sequioa Argon. Für den Betrieb via GSM benötigen Sie noch das separate Modem.

Die neue Firmware ist ab sofort auf der AKCP-Website erhältlich.

Fragen? Wir helfen gern. Nehmen Sie doch mit uns Kontakt auf, wir helfen Ihnen sehr gern weiter.

Georg Mimietz

Autor: Georg Mimietz

Georg kam im April 2009 zu NETWAYS, um seine Ausbildung als Fachinformatiker für Systemintegration zu machen. Nach einigen Jahren im Bereich Managed Services ist er in den Vertrieb gewechselt und kümmerte sich dort überwiegend um die Bereiche Shop und Managed Services. Seit 2015 ist er als Teamlead für den Support verantwortlich und kümmert sich um Kundenanfragen und die Ressourcenplanung. Darüber hinaus erledigt er in Nacht-und-Nebel-Aktionen Dinge, für die andere zwei Wochen brauchen.

HW group Ares – pünktlich zum Sommer günstiger

hw group ares gsm thermometer e mail sms

Erfreuliche Neuigkeiten! Das Ares gibt es jetzt in allen Ausführungen im Schnitt 25% günstiger. Das ist doch mal eine Ansage.

Was macht das Ares und wozu ist es gut?

Das Ares von HW group ist ein autarkes Monitoring-System. Dort können Sie beliebige Sensoren und Kontakte anschließen. Mittels eingebautem SIM-Schacht machen Sie sich von drahtgebundenen Anbindungen wie Netzwerk oder Internet unabhängig. Das Ares eignet sich also ideal als Standalone-Lösung für die Überwachung von Umweltparametern im Rechenzentrum / Serverraum, in Laboren, in Ferienhäusern usw.

Mittels einer großen Anzahl von verfügbaren und kompatiblen Sensoren, ist nahezu jeder Anwendungsfall überwachbar.

Nachfolgend haben wir Ihnen einmal ein paar Beispiele zusammen gefasst:

Wie funktioniert das Ares?

Eigentlich ganz einfach: Nach der Lieferung konfigurieren Sie das Gerät initial via USB mit den gewünschten Alarmkontakten, Schwellwerten, Intervallen etc. Dann können Sie das Gerät schon am Standort Ihrer Wahl mit den dazugehörigen Sensoren aufbauen. Für den Betrieb des Ares benötigen Sie noch eine Standard-SIM. Je nach Anwendungsfall ist eine SMS-Flat oder Datenflat (bei Nutzung des SensDesk-Portals) empfehlenswert.

Wird nun ein vordefinierter Schwellwert überschritten, ein Kontakt geschlossen oder fällt der Strom aus, so werden die von Ihnen konfigurierten Alarmkontakte auf dem von Ihnen gewählten Weg alarmiert.

Zwischenabfragen sind jederzeit möglich, einfach die SIM im Gerät anrufen und der Anrufer bekommt die aktuellen Messwerte via SMS zurück. Natürlich können Sie auch die aktuellen Messwerte säuberlich geordnet im kostenfreien SensDesk-Portal betrachten. Damit Ihr Ares mit dem SensDesk-Portal funktioniert, müssen Sie dies bei der Ersteinrichtung mit berücksichtigen.

Über das SensDesk-Portal können Sie jederzeit die Einstellungen des Gerätes ändern, ohne es erneut über USB konfigurieren zu müssen. Dies eignet sich natürlich hervorragend, sollten einmal Alarmkontakte oder Schwellwerte geändert werden.

Wie funktioniert die Überwachung der Stromversorgung?

Ein großer Vorteil gegenüber anderer Produkten auf dem Markt, ist die Überwachung der Stromversorgung vom Ares. Durch die integrierte USV wird bei einem Stromausfall zuverlässig der Verlust des Stromnetzes alarmiert. Die Messungen gehen auch normal weiter, so lange, bis die USV leer ist. Sobald die Energieversorgung wieder hergestellt ist, so tritt das Ares seinen normalen Dienst wieder an und informiert über die Rückkehr zum Normalzustand. In unseren Tests hat die USV mit einem Sensor und der engmaschigen Übermittlung der Messwerte an das SensDesk-Portal noch 2 Stunden gehalten.

Wo wird das Ares eingesetzt?

Unserer Erfahrung nach haben Kunden mit dem Ares schon folgende Anwendungsfälle realisiert

  • Überwachung von Ferienwohnungen
  • Überwachung von Vorlauftemperaturen
  • Zutrittsüberwachung bei Gebäuden
  • Überwachung von Kühlschränken (auch medizinischer Bereich)
  • Überwachung von Humidoren
  • Überwachung von Weinschränken
  • Überwachung von Serverräumen
  • Überwachung von Lebensmittellagern
  • Überwachung von Windrädern
  • Überwachung von Bussen, LKW, Fahrzeugen (Stromversorgung muss nicht über das Netzteil erfolgen. Stromversorgung ist auch via Industrieklemme (9-30V) möglich)

Welche Ares gibt es?

Im wesentlichen gibt es nur das Ares12 und das Ares14, sie unterscheiden sich in der Anzahl der maximal anschließbaren Sensoren. Die folgende Übersicht erleichtert die unterschiedlichen Funktionsumfänge zu verstehen.

Ares_Compare

 

Wo kann man das Ares kaufen?

Das Ares gibt es bei uns im Online-Store, aktuell zu folgenden Konditionen:

Georg Mimietz

Autor: Georg Mimietz

Georg kam im April 2009 zu NETWAYS, um seine Ausbildung als Fachinformatiker für Systemintegration zu machen. Nach einigen Jahren im Bereich Managed Services ist er in den Vertrieb gewechselt und kümmerte sich dort überwiegend um die Bereiche Shop und Managed Services. Seit 2015 ist er als Teamlead für den Support verantwortlich und kümmert sich um Kundenanfragen und die Ressourcenplanung. Darüber hinaus erledigt er in Nacht-und-Nebel-Aktionen Dinge, für die andere zwei Wochen brauchen.

NetApp FAS 3140 sucht neues Zuhause

Wir hätten da aktuell etwas abzugeben – unseren anspruchsvollen Kunden reicht die NetApp FAS 3140 leider nicht mehr und wir haben entsprechend mit starker Hardware nachgerüstet. Für ein mittelständisches Unternehmen bei dem der Storage langsam knapp wird, bieten wir hier aber eine optimale Lösung an.

Der Vorteil: leistungsstarke Hardware zum kleinen Preis. Wir stellen jetzt einmal 5.000 € netto in den Raum. Das ist viel zu wenig? Dann verraten Sie es niemanden und kommen Sie schnell vorbei. Zu teuer? Machen Sie uns doch ein Angebot, Sie erreichen uns am besten hier.

Aber einmal von vorn; was wird überhaupt angeboten:

  1. NetApp FAS 3140 mit 2×256 PAM-Karten
  2. 1 x Shelf DS14 MK2 mit 14 x 1TB (Hitachi HUA721010KLA330 7200 U/Min)
  3. 3x Shelf DS14 MK4 mit je 14 x 450 GB (Seagate ST3450856FC 15000 U/Min)
  4. 1x Shelf DS14 MK4 mit 14x 450 GB (Hitachi HUS156045VLF400 15000 U/Min)
  5. Rack-Montagematerial, Glasfaserkabel usw.

Das sind brutto fast 40TB feinster High-Performance Storage.

Am liebsten ist uns die Abholung bei uns im Büro – wir helfen auch beim Verladen. Alternativ können wir uns auch gerne mit einer Spedition Ihrer Wahl in Verbindung setzen um die Ware sicher zu Ihnen zu bringen.

Zustand: Hardware ist frei von äußerlichen Schäden. Betrieb erfolgte in nahezu staubfreier Umgebung. Es sind keine Verladeschäden zu erkennen. Alle technischen Komponenten liefen bis zuletzt ohne Ausfälle. (Nachtrag: vermutlich ist eine Platte defekt, dafür geben wir eine Flasche Bier dazu ;))

Wichtig, weil es einfach dazu gehört: Diese Hardware wird nicht an Verbraucher verkauft. Die Sachmängelhaftung wird ausgeschlossen. Die Speditionskosten sind vom Käufer zu tragen. Mit dem Versand der Ware erhalten Sie eine Rechnung auf Ihr Unternehmen inkl. ausgewiesener Umsatzsteuer. Lizenzen und Support sind kein Bestandteil des Angebotes, aber möglicher Weise noch vorhanden.

Georg Mimietz

Autor: Georg Mimietz

Georg kam im April 2009 zu NETWAYS, um seine Ausbildung als Fachinformatiker für Systemintegration zu machen. Nach einigen Jahren im Bereich Managed Services ist er in den Vertrieb gewechselt und kümmerte sich dort überwiegend um die Bereiche Shop und Managed Services. Seit 2015 ist er als Teamlead für den Support verantwortlich und kümmert sich um Kundenanfragen und die Ressourcenplanung. Darüber hinaus erledigt er in Nacht-und-Nebel-Aktionen Dinge, für die andere zwei Wochen brauchen.

Clever die Temperatur via Netzwerk messen – HWg-STE und Neon 110

Da noch diese Woche die Temperaturen an der 30°C-Marke kratzen, stellen wir noch einmal unsere beliebtesten Geräte zur einfachen Temperaturüberwachung vor. Spätestens wenn Sie bereits einen Hitzeschaden an Ihrer Hardware hatten, wissen Sie die Vorzüge einer günstigen Temperaturüberwachung zu schätzen.

HWg-STE_IP_SNMP_Thermometer_800

HWg-STE: Unser günstiger Allrounder – ab 149,00 € erhalten Sie ein digitales Netzwerkthermometer inkl. allem was Sie zum Messen benötigen (3m IP67-Temperatursensor, Netzteil, MIB-Table, Plugin) – Natürlich gibts die Messwerte via Webinterface, Mail oder als Ausgabe fürs Monitoring (Plugin). Natürlich bieten wir noch andere Ausführungen an, wie beispielsweise PoE, Push (Messwerte via SensDesk-Portal), Plus (2 dry-contact inputs)… Darüber hinaus haben Sie die Möglichkeit, einen weiteren 1-Wire Sensor an das HWg-STE anzuschließen.

neon

Neon 110: Unser Neon 110 gibt’s zum Tiefpreis für 99,00 € – auch inkl. Sensor  (Temperatur und Luftfeuchtigkeit) und Netzteil. Eine PoE-Version gibt es nicht, das Neon ist halt wie es ist 🙂 Dafür aber mit Weboberfläche, Mailalarmierung und Messwerten via XML und Monitoring-Plugin.

99 € sind ja auch fast geschenkt und einem geschenkten Gaul… Sie wissen schon.

Natürlich kommt es immer auf die individuellen Gegebenheiten an, aber falls Sie sich nicht sicher sind, helfen wir Ihnen natürlich gerne und jederzeit weiter. Falls Sie Interesse an Lösungen für große Umgebungen haben, stöbern Sie doch einmal im Store – Sie werden sicher fündig!

Übrigens: bis 15:30 Uhr bestellt und die Ware ist schon am nächsten Werktag bei Ihnen.

SMS-Alarmierung? Die haben wir auch, schauen Sie doch mal unsere Ethernet-SMS Gateways an!

Georg Mimietz

Autor: Georg Mimietz

Georg kam im April 2009 zu NETWAYS, um seine Ausbildung als Fachinformatiker für Systemintegration zu machen. Nach einigen Jahren im Bereich Managed Services ist er in den Vertrieb gewechselt und kümmerte sich dort überwiegend um die Bereiche Shop und Managed Services. Seit 2015 ist er als Teamlead für den Support verantwortlich und kümmert sich um Kundenanfragen und die Ressourcenplanung. Darüber hinaus erledigt er in Nacht-und-Nebel-Aktionen Dinge, für die andere zwei Wochen brauchen.