letsencrypt
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
| letsencrypt [24.05.2017 11:02] – angelegt x1lent | letsencrypt [24.05.2017 14:36] – x1lent | ||
|---|---|---|---|
| Zeile 2: | Zeile 2: | ||
| Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das vertrauen entzogen haben steigen wir auf LetsEncrypt um. | Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das vertrauen entzogen haben steigen wir auf LetsEncrypt um. | ||
| + | |||
| + | Da LetsEncrypt für das überprüfen der Angaben das ACME-Protokoll benutzt. Dafür brauchen wir einen Client. | ||
| + | Wir haben uns für acmetool entschieden. | ||
| + | |||
| + | ===== Vorbereitung ===== | ||
| + | |||
| + | Acmetool installieren: | ||
| + | echo 'deb http:// | ||
| + | apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA | ||
| + | apt-get update | ||
| + | apt-get install acmetool | ||
| + | | ||
| + | Acmetool einrichten: | ||
| + | acmetool quickstart --expert | ||
| + | Dann folgende Optionen wählen: | ||
| + | * 1) Let's Encrypt (Live) - I want live certificates | ||
| + | * 1) RSA | ||
| + | * 4096 | ||
| + | * 2) PROXY | ||
| + | * Den ToS zustimmen | ||
| + | * Als E-Mail Adresse service@pinneberg.freifunk.net eintragen | ||
| + | * Cronjob installieren lassen | ||
| + | |||
| + | ===== Einrichtung ===== | ||
| + | |||
| + | |||
| + | ==== Reverse Proxy für Challenges ==== | ||
| + | |||
| + | |||
| + | === Apache2 === | ||
| + | |||
| + | cat / | ||
| + | ProxyPass "/ | ||
| + | | ||
| + | a2enconf letsencrypt | ||
| + | service apache2 reload | ||
| + | | ||
| + | === Nginx === | ||
| + | |||
| + | cat / | ||
| + | location ^~ / | ||
| + | proxy_pass http:// | ||
| + | } | ||
| + | |||
| + | In den vhosts includen | ||
| + | |||
| + | ==== Zertifikat anfordern ==== | ||
| + | |||
| + | |||
| + | sudo acmetool want pinneberg.freifunk.net | ||
| + | |||
| + | Es können auch mehrere Domains in ein Zertifikat gepackt werden: | ||
| + | sudo acmetool want pinneberg.freifunk.net www.pinneberg.freifunk.net | ||
| + | | ||
| + | Die Zertifikate liegen immer unter / | ||
| + | |||
| + | Keine Rückmeldung bedeutet klassisch bei UNIX alles ist gut gelaufen. | ||
| + | |||
| + | ==== Zertifikat einbinden ==== | ||
| + | |||
| + | |||
| + | === Apache2 === | ||
| + | |||
| + | < 2.4.8 | ||
| + | SSLCertificateFile / | ||
| + | SSLCertificateChainFile / | ||
| + | SSLCertificateKeyFile / | ||
| + | | ||
| + | >= 2.4.8 | ||
| + | SSLCertificateFile / | ||
| + | SSLCertificateKeyFile / | ||
| + | | ||
| + | nginx: | ||
| + | ssl_certificate / | ||
| + | ssl_certificate_key / | ||
| + | | ||
| + | |||
letsencrypt.txt · Zuletzt geändert: 12.07.2017 16:12 von havelock
Seiten-Werkzeuge
