Wiki - Freifunk Pinneberg

Freies WLAN im Kreis Pinneberg

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
letsencrypt

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
letsencrypt [24.05.2017 11:33] x1lentletsencrypt [12.07.2017 16:12] (aktuell) – [Letsencrypt] havelock
Zeile 1: Zeile 1:
 ====== Letsencrypt ====== ====== Letsencrypt ======
  
-Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das vertrauen entzogen haben steigen wir auf LetsEncrypt um.+Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das Vertrauen entzogen haben steigen wir auf LetsEncrypt um.
  
-Da LetsEncrypt für das überprüfen der Angaben das ACME-Protokoll benutzt. Dafür brauchen wir einen Client.+Da LetsEncrypt für das Überprüfen der Angaben das ACME-Protokoll benutzt. Dafür brauchen wir einen Client.
 Wir haben uns für acmetool entschieden. Wir haben uns für acmetool entschieden.
  
-== Vorbereitung ==+Tip: Es gibt auch die Alternative ''acmy-tiny''. Siehe dazu: https://www.computerclub-pinneberg.de/lets_encrypt 
 +===== Vorbereitung =====
  
 Acmetool installieren: Acmetool installieren:
-    echo 'deb http://ppa.launchpad.net/hlandau/rhea/ubuntu xenial main' > /etc/apt/sources.list.d/rhea.list +  echo 'deb http://ppa.launchpad.net/hlandau/rhea/ubuntu xenial main' > /etc/apt/sources.list.d/rhea.list 
-    apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA +  apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA 
-    apt-get update +  apt-get update 
-    apt-get install acmetool+  apt-get install acmetool 
 +   
 +Acmetool einrichten: 
 +  acmetool quickstart --expert 
 +Dann folgende Optionen wählen: 
 +  * 1) Let's Encrypt (Live) - I want live certificates 
 +  * 1) RSA 
 +  * 4096 
 +  * 2) PROXY 
 +  * Den ToS zustimmen 
 +  * Als E-Mail Adresse service@pinneberg.freifunk.net eintragen 
 +  * Cronjob installieren lassen 
 + 
 +===== Einrichtung ===== 
 + 
 + 
 +==== Reverse Proxy für Challenges ==== 
 + 
 + 
 +=== Apache2 === 
 + 
 +  cat /etc/apache2/conf-available/letsencrypt.conf 
 +  ProxyPass "/.well-known/acme-challenge" "http://127.0.0.1:402/.well-known/acme-challenge" 
 +   
 +  a2enconf letsencrypt 
 +  service apache2 reload 
 +   
 +=== Nginx === 
 + 
 +  cat /etc/nginx/letsencrypt.conf 
 +  location ^~ /.well-known/acme-challenge/
 +    proxy_pass http://127.0.0.1:402; 
 +  } 
 + 
 +In den vhosts includen 
 + 
 +==== Zertifikat anfordern ==== 
 + 
 + 
 +  sudo acmetool want pinneberg.freifunk.net 
 + 
 +Es können auch mehrere Domains in ein Zertifikat gepackt werden: 
 +  sudo acmetool want pinneberg.freifunk.net www.pinneberg.freifunk.net 
 +   
 +Die Zertifikate liegen immer unter /var/lib/acme/live/domainname/ 
 + 
 +Keine Rückmeldung bedeutet klassisch bei UNIX alles ist gut gelaufen. 
 + 
 +==== Zertifikat einbinden ==== 
 + 
 + 
 +=== Apache2 === 
 + 
 +< 2.4.8 
 +  SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/cert 
 +  SSLCertificateChainFile /var/lib/acme/live/pinneberg.freifunk.net/chain 
 +  SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey 
 +   
 +>= 2.4.8 
 +  SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/fullchain 
 +  SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey 
 +   
 +nginx: 
 +  ssl_certificate /var/lib/acme/live/pinneberg.freifunk.net/fullchain; 
 +  ssl_certificate_key /var/lib/acme/live/pinneberg.freifunk.net/privkey;  
 +   
 + 
 + 
letsencrypt.1495618409.txt.gz · Zuletzt geändert: 24.05.2017 11:33 von x1lent

Seiten-Werkzeuge

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki