Benutzer-Werkzeuge

Webseiten-Werkzeuge


linux:ssl_zertifikat

Kostenloses SSL Zertifikat

Seit dem Betrieb von Let’s Encrypt (unter anderem gesponsort von Mozilla, Facebook und Cisco) kann jeder sich sein eigenes vertrauenswürdiges SSL Zertifikat erstellen - kostenlos. Dies kann man mit jeder eigenen Domain abwickeln oder auch mit bestimmten Public Domains.
Da die Zertifikate immer nur für 90 Tage gelten, muss ein Bot dies für uns erlediegen. Diese Anleitung nutzt den „Certbot“.

Certbot ACME-Client

  apt-get install certbot

Das erstmalige erstellen eines Zertifikat für eine Domain
Der Certbot erstellt seinen eigenen WebServer, so dass er ohne Probleme die Domainüberprüfung durchführen kann.

certbot certonly --standalone --email email@mydomain.tld --agree-tos --rsa-key-size 4096 -d mydomain.tld -d www.mydomain.tld -d mail.mydomain.tld

Ist dies erfolgreich abgeschlossen, so liegen die Zertifikate in /etc/letsencrypt/live/[domain], dort sind folgende vier Datein als Symbolischer Link hinterlegt: * cert.pem (Das öffentliche Zertifikat in Reinform) * chain.pem (Root Zertifikat aus der sog. Keychain) * fullchain.pem (entspricht cert.pem + chain.pem) * privkey.pem (Der private Schlüssel)

Cronjob für Renew

Testdurchlauf starten

certbot renew --dry-run 

Wenn der Testdurchlauf ohne Probleme durchgelaufen ist, in crontab -e
ACHTUNG: GGF. SERVICES ANPASSEN NGINX ⇒ APACHE, POSTFIX/DOVECOT ENTFERNEN

0 4 * * * certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start" --renew-hook "service postfix restart" --renew-hook "service dovecot restart"

Neue Subdomain hinzufügen

certbot certonly --standalone --email email@mydomain.tld --agree-tos --rsa-key-size 4096 -d new.domaintld --expand --renew-by-default

Einbinden in einem WebServer oder Mailserver

NGINX

ssl_certificate /etc/letsencrypt/live/[domain]/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/[domain]/privkey.pem;

Für eine genauere Konfiguration siehe LNMP Installation

APACHE

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/[domain]/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/[domain]/privkey.pem

Postfix

smtpd_tls_cert_file=/etc/letsencrypt/live/[domain]/cert.pem
smtpd_tls_key_file=/etc/letsencrypt/live/[domain]/privkey.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/[domain]/chain.pem

Dovecot

ssl_cert = </etc/letsencrypt/live/[domain]/cert.pem
ssl_key = </etc/letsencrypt/live/[domain]/privkey.pem
ssl_ca = </etc/letsencrypt/live/[domain]/chain.pem

OUTDATED:

Certbot Fix

fix_letsencrypt.sh

wget -O /tmp/fix_letsencrypt.sh http://wiki.mc8051.de/lib/exe/fetch.php?media=linux:fix_letsencrypt.sh && chmod +x /tmp/fix_letsencrypt.sh && bash /tmp/fix_letsencrypt.sh
linux/ssl_zertifikat.txt · Zuletzt geändert: 22.07.2018 23:38 von Gurkengewuerz