Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
letsencrypt [24.05.2017 11:46] – x1lent | letsencrypt [12.07.2017 16:12] (aktuell) – [Letsencrypt] havelock | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Letsencrypt ====== | ====== Letsencrypt ====== | ||
- | Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das vertrauen | + | Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das Vertrauen |
- | Da LetsEncrypt für das überprüfen | + | Da LetsEncrypt für das Überprüfen |
Wir haben uns für acmetool entschieden. | Wir haben uns für acmetool entschieden. | ||
- | == Vorbereitung == | + | Tip: Es gibt auch die Alternative '' |
+ | ===== Vorbereitung | ||
Acmetool installieren: | Acmetool installieren: | ||
Zeile 15: | Zeile 16: | ||
| | ||
Acmetool einrichten: | Acmetool einrichten: | ||
- | acmetool quickstart | + | acmetool quickstart |
- | Dann folgende Optionen wählen: | + | Dann folgende Optionen wählen: |
- | * 1) Let's Encrypt (Live) - I want live certificates | + | * 1) Let's Encrypt (Live) - I want live certificates |
- | * 2) PROXY | + | * 1) RSA |
- | * Den ToS zustimmen | + | * 4096 |
- | * Als E-Mail Adresse service@pinneberg.freifunk.net eintragen | + | |
- | * Cronjob installieren lassen | + | * Den ToS zustimmen |
+ | * Als E-Mail Adresse service@pinneberg.freifunk.net eintragen | ||
+ | * Cronjob installieren lassen | ||
+ | |||
+ | ===== Einrichtung ===== | ||
+ | |||
+ | |||
+ | ==== Reverse Proxy für Challenges ==== | ||
+ | |||
+ | |||
+ | === Apache2 === | ||
+ | |||
+ | cat / | ||
+ | ProxyPass "/ | ||
+ | |||
+ | a2enconf letsencrypt | ||
+ | service apache2 reload | ||
+ | |||
+ | === Nginx === | ||
+ | |||
+ | cat / | ||
+ | location ^~ / | ||
+ | proxy_pass http:// | ||
+ | } | ||
+ | |||
+ | In den vhosts includen | ||
+ | |||
+ | ==== Zertifikat anfordern ==== | ||
+ | |||
+ | |||
+ | sudo acmetool want pinneberg.freifunk.net | ||
+ | |||
+ | Es können auch mehrere Domains in ein Zertifikat gepackt werden: | ||
+ | sudo acmetool want pinneberg.freifunk.net www.pinneberg.freifunk.net | ||
+ | |||
+ | Die Zertifikate liegen immer unter / | ||
+ | |||
+ | Keine Rückmeldung bedeutet klassisch bei UNIX alles ist gut gelaufen. | ||
+ | |||
+ | ==== Zertifikat einbinden ==== | ||
+ | |||
+ | |||
+ | === Apache2 === | ||
+ | |||
+ | < 2.4.8 | ||
+ | SSLCertificateFile / | ||
+ | SSLCertificateChainFile / | ||
+ | SSLCertificateKeyFile / | ||
+ | |||
+ | >= 2.4.8 | ||
+ | SSLCertificateFile / | ||
+ | SSLCertificateKeyFile / | ||
+ | |||
+ | nginx: | ||
+ | ssl_certificate / | ||
+ | ssl_certificate_key / | ||
+ | | ||