Letsencrypt
Beglaubigtes Zertifikat
Das Projekt Let's Encrypt ermöglicht die Erstellung eines Zertifikats, das von allen Browsern anerkannt wird.
Installation
zypper in git git clone https://github.com/letsencrypt/letsencrypt
Installation über SNAP
Da die bisherige Version von certbot nicht mehr gepflegt wird, sollte man certbot als SNAP Paket installieren.
- Hier gibt es eine Anleitung fpr openSUSE, nach der ich erfolgreich vorgegeangen bin.
Zertifikat anfordern
Variante 1
Kommando für jeden virtuellen Host ausführen
/root/letsencrypt/letsencrypt-auto certonly -a webroot --webroot-path /srv/www/htdocs/joomla_site_1 -d example-1.com -d www.example-1.com ...
Variante 2
Datei /etc/letsencrypt/cli.ini
mit folgendem Inhalt erzeugen:
# Beispiel rsa-key-size = 4096 email = myaddress@example.com authenticator = webroot webroot-path = /srv/www/htdocs domain = mydomain.example.com, www.mydomain.example.com
- Zertifikat gemäß Konfigurationsdatei anfordern
cd /root/letsencrypt ./letsencrypt-auto certonly -c /etc/letsencrypt/cli.ini
- Zertifikate für mehrere Domains anfordern
cd /root/letsencrypt ./certbot-auto certonly --noninteractive --expand \ -d domain1.at -d www.daomain1.at \ -d domain2.at -d www.daomain2.at \ ...
- Apache konfigurieren
Ist Apache schon für SSL konfiguriert (mit einem selbstsignierten Zertifikat), dann braucht man nur in /etc/apache2/default-server.conf
die Pfade eintragen.
SSLEngine on SSLCertificateFile /etc/letsencrypt/live/mydomain.example.com/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/mydomain.example.com/privkey.pem
- Server neu starten
rcapache2 restart
- Info
Installation und Einrichtung für openSUSE
Hinweise nach der Installation
Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/t2792.greatnet.de/fullchain.pem
. Your cert will expire on 2016-09-10. To obtain a new or tweaked version of this certificate in the future, simply run letsencrypt-auto again. To non-interactively renew *all* of your certificates, run "letsencrypt-auto renew".
If you lose your account credentials, you can recover through e-mails sent to webmaster@t2792.greatnet.de.
Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.
If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Zertifikate erneuern
Die Zertifikate von Letsencrypt gelten nur 90 Tage.
- Erneuern am besten per Cronjob, wöchentlich:
# Zertifikat aktualisieren: 25 4 * * 5 /root/letsencrypt/certbot-auto renew
Ein Zertifikat löschen
/root/letsencrypt/certbot-auto delete
Es werden alle Zertifikate angezeigt. Indexnummer eingeben und Enter drücken.