====== Letsencrypt ====== Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das Vertrauen entzogen haben steigen wir auf LetsEncrypt um. Da LetsEncrypt für das Überprüfen der Angaben das ACME-Protokoll benutzt. Dafür brauchen wir einen Client. Wir haben uns für acmetool entschieden. Tip: Es gibt auch die Alternative ''acmy-tiny''. Siehe dazu: https://www.computerclub-pinneberg.de/lets_encrypt ===== Vorbereitung ===== Acmetool installieren: echo 'deb http://ppa.launchpad.net/hlandau/rhea/ubuntu xenial main' > /etc/apt/sources.list.d/rhea.list apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA apt-get update apt-get install acmetool Acmetool einrichten: acmetool quickstart --expert Dann folgende Optionen wählen: * 1) Let's Encrypt (Live) - I want live certificates * 1) RSA * 4096 * 2) PROXY * Den ToS zustimmen * Als E-Mail Adresse service@pinneberg.freifunk.net eintragen * Cronjob installieren lassen ===== Einrichtung ===== ==== Reverse Proxy für Challenges ==== === Apache2 === cat /etc/apache2/conf-available/letsencrypt.conf ProxyPass "/.well-known/acme-challenge" "http://127.0.0.1:402/.well-known/acme-challenge" a2enconf letsencrypt service apache2 reload === Nginx === cat /etc/nginx/letsencrypt.conf location ^~ /.well-known/acme-challenge/ { proxy_pass http://127.0.0.1:402; } In den vhosts includen ==== Zertifikat anfordern ==== sudo acmetool want pinneberg.freifunk.net Es können auch mehrere Domains in ein Zertifikat gepackt werden: sudo acmetool want pinneberg.freifunk.net www.pinneberg.freifunk.net Die Zertifikate liegen immer unter /var/lib/acme/live/domainname/ Keine Rückmeldung bedeutet klassisch bei UNIX alles ist gut gelaufen. ==== Zertifikat einbinden ==== === Apache2 === < 2.4.8 SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/cert SSLCertificateChainFile /var/lib/acme/live/pinneberg.freifunk.net/chain SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey >= 2.4.8 SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/fullchain SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey nginx: ssl_certificate /var/lib/acme/live/pinneberg.freifunk.net/fullchain; ssl_certificate_key /var/lib/acme/live/pinneberg.freifunk.net/privkey;