Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
— | anwenderwiki:server:ssl-tls-letsencrypt [2017/01/29 16:44] (aktuell) – angelegt - Externe Bearbeitung 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | {{tag> | ||
+ | < | ||
+ | Die Anleitung für die Vorgängerversion findet sich [[anwenderwiki: | ||
+ | </ | ||
+ | \\ | ||
+ | |||
+ | |||
+ | ====== Von Let's Encrypt signierte SSL/ | ||
+ | |||
+ | ===== 1. Client installieren ===== | ||
+ | |||
+ | |||
+ | Für Ubuntu 12.04 ist der Certbot-Client noch nicht in den Paketquellen von Ubuntu enthalten, daher muss man ihn manuell herunterladen und installieren: | ||
+ | |||
+ | < | ||
+ | wget https:// | ||
+ | chmod 0700 certbot-auto | ||
+ | mv certbot-auto / | ||
+ | </ | ||
+ | |||
+ | ===== 2. Programmumgebung einrichten und erstes Zertifikat erzeugen ===== | ||
+ | |||
+ | Nun kann das erste Zertifikat erzeugt werden. Certbot prüft bei jedem Aufruf die Installation und lädt bei Bedarf fehlende oder veraltete Pakete herunter, beim ersten Aufruf darf man sich also über diesbezügliche Meldungen nicht wundern. | ||
+ | |||
+ | Wenn der Server unter mehreren Namen erreichbar sein soll, dann muss man die alle angeben, es wird ein einziges Zertifikat erzeugt, das für alle diese Servernamen gültig ist. Wichtig ist, dass der Server unter allen diesen Namen aus dem Internet erreichbar ist, weil Certbot überprüft, | ||
+ | |||
+ | < | ||
+ | certbot-auto certonly --apache --email < | ||
+ | </ | ||
+ | |||
+ | Hier ein Beispiel: | ||
+ | < | ||
+ | certbot-auto certonly --apache --email administrator@meineschule.de -d server.meineschule.de | ||
+ | </ | ||
+ | |||
+ | |||
+ | Sollen die Zertifikate mit einem längeren RSA-Schlüssel erstellt werden, so kann in o. g. Befehlszeile die Option | ||
+ | < | ||
+ | --rsa-key-size 4096 | ||
+ | </ | ||
+ | angegeben werden. Ohne diese Angabe wird der Schlüssel mit 2048 Bit erstellt. | ||
+ | |||
+ | |||
+ | Das erstellte Zertifikat befindet sich jetzt in Ordnern unterhalb von ''/ | ||
+ | |||
+ | |||
+ | ===== 3. Zertifikat aktivieren ===== | ||
+ | |||
+ | |||
+ | === Einmalig: Apache-Konfiguration anpassen === | ||
+ | |||
+ | Manche ältere Clients benötigen einen zusätzlichen Eintrag in der Apache-Konfiguration. Die erforderliche Option '' | ||
+ | |||
+ | < | ||
+ | # Schon vorhanden | ||
+ | SSLCertificateFile / | ||
+ | SSLCertificateKeyFile / | ||
+ | # Diese Option ergänzen | ||
+ | SSLCertificateChainFile / | ||
+ | # Optional: Let' | ||
+ | Include / | ||
+ | </ | ||
+ | |||
+ | Wer möchte, kann wie im Beispiel von Let' | ||
+ | |||
+ | |||
+ | |||
+ | === Zertifikat kopieren === | ||
+ | |||
+ | Das Zertifikat liegt noch nicht in der erforderlichen Form vor und ist auch noch nicht an der richtigen Stelle gespeichert. Dazu erzeugt man ein Skript ''/ | ||
+ | |||
+ | < | ||
+ | # / | ||
+ | |||
+ | SRCDIR=/ | ||
+ | TARGETDIR=/ | ||
+ | |||
+ | echo | ||
+ | echo " | ||
+ | |||
+ | cp -a $TARGETDIR/ | ||
+ | |||
+ | echo | ||
+ | echo " | ||
+ | |||
+ | cat $SRCDIR/ | ||
+ | cat $SRCDIR/ | ||
+ | cat $SRCDIR/ | ||
+ | |||
+ | chmod 0640 $TARGETDIR/ | ||
+ | chown root: | ||
+ | |||
+ | echo " | ||
+ | |||
+ | service apache2 restart | ||
+ | service slapd restart | ||
+ | service cyrus-imapd restart | ||
+ | |||
+ | echo " | ||
+ | echo | ||
+ | |||
+ | |||
+ | echo "Die Let' | ||
+ | |||
+ | exit 0 | ||
+ | </ | ||
+ | |||
+ | Den Ordner " | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== 4. Automatische Erneuerung des Zertifikats per Cronjob ===== | ||
+ | |||
+ | Das Zertifikat von Let's Encrypt ist für 90 Tage gültig. Folgender Cronjob sorgt für die automatische Erneuerung: | ||
+ | |||
+ | < | ||
+ | # Let' | ||
+ | |||
+ | 22 22 * * * | ||
+ | |||
+ | </ | ||
+ | |||
+ | Mit dem Befehl '' |