Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das Vertrauen entzogen haben steigen wir auf LetsEncrypt um.
Da LetsEncrypt für das Überprüfen der Angaben das ACME-Protokoll benutzt. Dafür brauchen wir einen Client. Wir haben uns für acmetool entschieden.
Tip: Es gibt auch die Alternative acmy-tiny
. Siehe dazu: https://www.computerclub-pinneberg.de/lets_encrypt
Acmetool installieren:
echo 'deb http://ppa.launchpad.net/hlandau/rhea/ubuntu xenial main' > /etc/apt/sources.list.d/rhea.list apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA apt-get update apt-get install acmetool
Acmetool einrichten:
acmetool quickstart --expert
Dann folgende Optionen wählen:
cat /etc/apache2/conf-available/letsencrypt.conf ProxyPass "/.well-known/acme-challenge" "http://127.0.0.1:402/.well-known/acme-challenge" a2enconf letsencrypt service apache2 reload
cat /etc/nginx/letsencrypt.conf location ^~ /.well-known/acme-challenge/ { proxy_pass http://127.0.0.1:402; }
In den vhosts includen
sudo acmetool want pinneberg.freifunk.net
Es können auch mehrere Domains in ein Zertifikat gepackt werden:
sudo acmetool want pinneberg.freifunk.net www.pinneberg.freifunk.net
Die Zertifikate liegen immer unter /var/lib/acme/live/domainname/
Keine Rückmeldung bedeutet klassisch bei UNIX alles ist gut gelaufen.
< 2.4.8
SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/cert SSLCertificateChainFile /var/lib/acme/live/pinneberg.freifunk.net/chain SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey
>= 2.4.8
SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/fullchain SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey
nginx:
ssl_certificate /var/lib/acme/live/pinneberg.freifunk.net/fullchain; ssl_certificate_key /var/lib/acme/live/pinneberg.freifunk.net/privkey;