Wiki - Freifunk Pinneberg

Freies WLAN im Kreis Pinneberg

Benutzer-Werkzeuge

Webseiten-Werkzeuge


letsencrypt

Letsencrypt

Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das Vertrauen entzogen haben steigen wir auf LetsEncrypt um.

Da LetsEncrypt für das Überprüfen der Angaben das ACME-Protokoll benutzt. Dafür brauchen wir einen Client. Wir haben uns für acmetool entschieden.

Tip: Es gibt auch die Alternative acmy-tiny. Siehe dazu: https://www.computerclub-pinneberg.de/lets_encrypt

Vorbereitung

Acmetool installieren:

echo 'deb http://ppa.launchpad.net/hlandau/rhea/ubuntu xenial main' > /etc/apt/sources.list.d/rhea.list
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA
apt-get update
apt-get install acmetool

Acmetool einrichten:

acmetool quickstart --expert

Dann folgende Optionen wählen:

  • 1) Let's Encrypt (Live) - I want live certificates
  • 1) RSA
  • 4096
  • 2) PROXY
  • Den ToS zustimmen
  • Als E-Mail Adresse service@pinneberg.freifunk.net eintragen
  • Cronjob installieren lassen

Einrichtung

Reverse Proxy für Challenges

Apache2

cat /etc/apache2/conf-available/letsencrypt.conf
ProxyPass "/.well-known/acme-challenge" "http://127.0.0.1:402/.well-known/acme-challenge"

a2enconf letsencrypt
service apache2 reload

Nginx

cat /etc/nginx/letsencrypt.conf
location ^~ /.well-known/acme-challenge/ {
  proxy_pass http://127.0.0.1:402;
}

In den vhosts includen

Zertifikat anfordern

sudo acmetool want pinneberg.freifunk.net

Es können auch mehrere Domains in ein Zertifikat gepackt werden:

sudo acmetool want pinneberg.freifunk.net www.pinneberg.freifunk.net

Die Zertifikate liegen immer unter /var/lib/acme/live/domainname/

Keine Rückmeldung bedeutet klassisch bei UNIX alles ist gut gelaufen.

Zertifikat einbinden

Apache2

< 2.4.8

SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/cert
SSLCertificateChainFile /var/lib/acme/live/pinneberg.freifunk.net/chain
SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey

>= 2.4.8

SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/fullchain
SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey

nginx:

ssl_certificate /var/lib/acme/live/pinneberg.freifunk.net/fullchain;
ssl_certificate_key /var/lib/acme/live/pinneberg.freifunk.net/privkey; 
letsencrypt.txt · Zuletzt geändert: 12.07.2017 16:12 von havelock