hab mein Blog aktualisiert, untere anderem den Link zum Lets Encrypt Update Script eingefügt und eine Anleitung zur Installation der UTM bei Providerdienste. Vielleicht hilft das ja dem einen oder anderen weiter.
Die Anleitung für die Einbindung von Letsencrypt Zertifikaten verweist ja auf das Script
sophos-utm-letsencrypt. Das wiederum nutzt
getssl, um die Zerfikate bei Letsencrypt zu holen bzw. zu erneuern.
Soweit, so gut, aber ich habe an zwei Stellen eine Art Störgefühl, den Code auf der Firewall zu installieren und dort laufen zu lassen:
1. Wenn ich den Script-Code von update-cert (von sophos-utm-letsencrypt) richtig interpretiere, wird das Sophos-originäre /usr/local/bin/confd-client.plx genutzt, um die letsencrypt-Zertifikate in Sophos UTM einzubinden. Wenn nun confd-client.plx bei einem UTM-Update plötzlich anders arbeitet, kann es zu undefiniertem Verhalten des Scripts update-cert kommen? Gruselig ist dabei die Vorstellung, dass das Script über den Aufruf eines geänderten confd-client.plx die Web Application Firewall der UTM ungewollt umkonfiguriert.
2. Der Code von getssl, auf den update-cert zurückgreift, enthält u.a. einen optionalen Update-Check auf neuere Versionen des Scripts. Das wird zwar von update-cert derzeit nicht genutzt, aber wenn sich der Autor von getssl irgendwann (aus welchen Gründen auch immer) dazu entschließen sollte, den Update-Check als (abschaltbaren) default zu setzen, kann auch das zu ungewollten Nebeneffekten führen. Die Firewall würde dann über das update-cert getssl aufrufen und darüber ggfs. eigenständig neuen Code laden/installieren. Ist zwar DERZEIT wohl noch nicht so. Wenn man sich als UTM-Betreiber aber dazu entschließt, beide Scripts gelegentlich auf neuere Versionsstände anzuheben, sollte man das im Blick haben - jedenfalls dann, wenn man nicht möchte, dass die Firewall über die Scripte nicht nur mit Letsencrypt kommuniziert.
Im Ergebnis bleibt für mich dabei das Gefühl, über die Installation der Scripte in das Ökosystem der Sophos-UTM einzugreifen und beim nächsten Sophos-Update (siehe Punkt 1) zusätzlichen Kontrollaufwand zu haben. Andererseits ist die Einbindung von Letsencrypt-Zertifikaten dort schon richtig aufgehoben, wenn man die Web Application Firewall nutzt. Es ist ja auch nicht weniger aufwändig, hinter der UTM einen eigenen HAproxy-Server zu betreiben und dort über certbot die letsencrypt-Zertikate zu verwalten. Letzere Lösung hat allerdings den Vorteil, dass man das Ökosystem UTM nicht verändert und nicht das Sophos-originäre /usr/local/bin/confd-client.plx einbeziehen muss.
Dies nur als weitere Denkanstöße zum Thema Letsencrypt