====== Letsencrypt ======

Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das Vertrauen entzogen haben steigen wir auf LetsEncrypt um.

Da LetsEncrypt für das Überprüfen der Angaben das ACME-Protokoll benutzt. Dafür brauchen wir einen Client.
Wir haben uns für acmetool entschieden.

Tip: Es gibt auch die Alternative ''acmy-tiny''. Siehe dazu: https://www.computerclub-pinneberg.de/lets_encrypt
===== Vorbereitung =====

Acmetool installieren:
  echo 'deb http://ppa.launchpad.net/hlandau/rhea/ubuntu xenial main' > /etc/apt/sources.list.d/rhea.list
  apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA
  apt-get update
  apt-get install acmetool
  
Acmetool einrichten:
  acmetool quickstart --expert
Dann folgende Optionen wählen:
  * 1) Let's Encrypt (Live) - I want live certificates
  * 1) RSA
  * 4096
  * 2) PROXY
  * Den ToS zustimmen
  * Als E-Mail Adresse service@pinneberg.freifunk.net eintragen
  * Cronjob installieren lassen

===== Einrichtung =====


==== Reverse Proxy für Challenges ====


=== Apache2 ===

  cat /etc/apache2/conf-available/letsencrypt.conf
  ProxyPass "/.well-known/acme-challenge" "http://127.0.0.1:402/.well-known/acme-challenge"
  
  a2enconf letsencrypt
  service apache2 reload
  
=== Nginx ===

  cat /etc/nginx/letsencrypt.conf
  location ^~ /.well-known/acme-challenge/ {
    proxy_pass http://127.0.0.1:402;
  }

In den vhosts includen

==== Zertifikat anfordern ====


  sudo acmetool want pinneberg.freifunk.net

Es können auch mehrere Domains in ein Zertifikat gepackt werden:
  sudo acmetool want pinneberg.freifunk.net www.pinneberg.freifunk.net
  
Die Zertifikate liegen immer unter /var/lib/acme/live/domainname/

Keine Rückmeldung bedeutet klassisch bei UNIX alles ist gut gelaufen.

==== Zertifikat einbinden ====


=== Apache2 ===

< 2.4.8
  SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/cert
  SSLCertificateChainFile /var/lib/acme/live/pinneberg.freifunk.net/chain
  SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey
  
>= 2.4.8
  SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/fullchain
  SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey
  
nginx:
  ssl_certificate /var/lib/acme/live/pinneberg.freifunk.net/fullchain;
  ssl_certificate_key /var/lib/acme/live/pinneberg.freifunk.net/privkey;