Letsencrypt

Aus Mediawiki Ferdinand Gruber
Version vom 7. Oktober 2020, 16:02 Uhr von WikiSysop (Diskussion | Beiträge) (1 Version importiert)
Zur Navigation springen Zur Suche springen

Beglaubigtes Zertifikat

Das Projekt Let's Encrypt ermöglicht die Erstellung eines Zertifikats, das von allen Browsern anerkannt wird.

Installation

zypper in git
git clone https://github.com/letsencrypt/letsencrypt

Zertifikat anfordern

Variante 1

Kommando für jeden virtuellen Host ausführen

/root/letsencrypt/letsencrypt-auto certonly -a webroot --webroot-path /srv/www/htdocs/joomla_site_1 -d example-1.com -d www.example-1.com 
...

Variante 2

Datei /etc/letsencrypt/cli.ini mit folgendem Inhalt erzeugen:

# Beispiel
rsa-key-size = 4096
email = myaddress@example.com
authenticator = webroot
webroot-path = /srv/www/htdocs
domain = mydomain.example.com, www.mydomain.example.com
  • Zertifikat gemäß Konfigurationsdatei anfordern
cd /root/letsencrypt
./letsencrypt-auto certonly -c /etc/letsencrypt/cli.ini
  • Zertifikate für mehrere Domains anfordern
cd /root/letsencrypt
./certbot-auto certonly --noninteractive --expand  \
  -d domain1.at -d www.daomain1.at \
  -d domain2.at -d www.daomain2.at \
  ...
  • Apache konfigurieren

Ist Apache schon für SSL konfiguriert (mit einem selbstsignierten Zertifikat), dann braucht man nur in /etc/apache2/default-server.conf die Pfade eintragen.

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/mydomain.example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/mydomain.example.com/privkey.pem
  • Server neu starten
rcapache2 restart
  • Info

Installation und Einrichtung für openSUSE

Artikel in LinuxUser 2016/01

Hinweise nach der Installation

Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/t2792.greatnet.de/fullchain.pem. Your cert will expire on 2016-09-10. To obtain a new or tweaked version of this certificate in the future, simply run letsencrypt-auto again. To non-interactively renew *all* of your certificates, run "letsencrypt-auto renew".

If you lose your account credentials, you can recover through e-mails sent to webmaster@t2792.greatnet.de.

Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.

If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate

Donating to EFF: https://eff.org/donate-le

Zertifikate erneuern

Die Zertifikate von Letsencrypt gelten nur 90 Tage.

Erneuern am besten per Cronjob, wöchentlich:
# Zertifikat aktualisieren:
25 4 * * 5 /root/letsencrypt/certbot-auto renew

Ein Zertifikat löschen

/root/letsencrypt/certbot-auto delete

Es werden alle Zertifikate angezeigt. Indexnummer eingeben und Enter drücken.