Dies ist eine alte Version des Dokuments!
Da StartCom von WoSign betrieben wird und fast alle Browserhersteller dieser CA das vertrauen entzogen haben steigen wir auf LetsEncrypt um.
Da LetsEncrypt für das überprüfen der Angaben das ACME-Protokoll benutzt. Dafür brauchen wir einen Client. Wir haben uns für acmetool entschieden.
Acmetool installieren:
echo 'deb http://ppa.launchpad.net/hlandau/rhea/ubuntu xenial main' > /etc/apt/sources.list.d/rhea.list apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 9862409EF124EC763B84972FF5AC9651EDB58DFA apt-get update apt-get install acmetool
Acmetool einrichten:
acmetool quickstart --expert
Dann folgende Optionen wählen:
cat /etc/apache2/conf-available/letsencrypt.conf ProxyPass "/.well-known/acme-challenge" "http://127.0.0.1:402/.well-known/acme-challenge" a2enconf letsencrypt service apache2 reload
cat /etc/nginx/letsencrypt.conf location ^~ /.well-known/acme-challenge/ { proxy_pass http://127.0.0.1:402; }
In den vhosts includen
sudo acmetool want pinneberg.freifunk.net
Es können auch mehrere Domains in ein Zertifikat gepackt werden:
sudo acmetool want pinneberg.freifunk.net www.pinneberg.freifunk.net
Die Zertifikate liegen immer unter /var/lib/acme/live/domainname/
Keine Rückmeldung bedeutet klassisch bei UNIX alles ist gut gelaufen.
< 2.4.8
SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/cert SSLCertificateChainFile /var/lib/acme/live/pinneberg.freifunk.net/chain SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey
>= 2.4.8
SSLCertificateFile /var/lib/acme/live/pinneberg.freifunk.net/fullchain SSLCertificateKeyFile /var/lib/acme/live/pinneberg.freifunk.net/privkey
nginx:
ssl_certificate /var/lib/acme/live/pinneberg.freifunk.net/fullchain; ssl_certificate_key /var/lib/acme/live/pinneberg.freifunk.net/privkey;