Jan 17, 2016
Kai Tobias Burwieck
Linux
No comments yet

Letsencrypt – Endlich kostenlose Zertifikate

Warum müssen Zertifikate was kosten? Das war die Frage, die ich mir immer gestellt habe.
Nun gibt es seit letzten Jahres endlich eine kostenlose Zertifizierungsmöglichkeit (dessen CA in allen gängigen Browsern enthalten ist) – Namens letsencrypt

 

 

Um in den Genuss dessen zu kommen ist sehr einfach:

1. Da das letsencrypt Tool eine Verifizierung der Webseite durchführt muss folgende Apache Directive im vHost existieren:

<IfModule mod_headers.c>
    <LocationMatch "/.well-known/acme-challenge/*">
        Header set Content-Type "text/plain"
    </LocationMatch>
</IfModule>

 


2. Das Letscrypt Repository holt man sich dann mit:

cd /opt
git clone https://github.com/letsencrypt/letsencrypt
cd /opt/letsencrypt/
./letsencrypt-auto --help

 


3. und generiert anschliessend mit

/opt/letsencrypt/letsencrypt-auto certonly --webroot --rsa-key-size 4096 -w /var/www/burwieck.ch/web/ -d www.burwieck.ch

 


das Zertifikat.
die Parameter lauten im einzelnen:

/opt/letsencrypt/letsencrypt-auto --help

...

  (default) run        Obtain & install a cert in your current webserver
  certonly             Obtain cert, but do not install it (aka "auth")
  install              Install a previously obtained cert in a server
  renew                Renew previously obtained certs that are near expiry
  revoke               Revoke a previously obtained certificate
  rollback             Rollback server configuration changes made during install
  config_changes       Show changes made to server config during installation
  plugins              Display information about installed plugins

Choice of server plugins for obtaining and installing cert:

  --apache          Use the Apache plugin for authentication & installation
  --standalone      Run a standalone webserver for authentication
  (nginx support is experimental, buggy, and not installed by default)
  --webroot         Place files in a server's webroot folder for authentication

...

nach dem erfolgreichen Durchlauf existieren dann unter /etc/letsencrypt/live/www.burwieck.ch/ folgende Dateien

ls -al /etc/letsencrypt/live/www.burwieck.ch/
insgesamt 8
drwxr-xr-x 2 root root 4096 Jan 17 10:03 .
drwx------ 5 root root 4096 Jan 17 11:45 ..
lrwxrwxrwx 1 root root   39 Jan 17 10:03 cert.pem -> ../../archive/www.burwieck.ch/cert1.pem
lrwxrwxrwx 1 root root   40 Jan 17 10:03 chain.pem -> ../../archive/www.burwieck.ch/chain1.pem
lrwxrwxrwx 1 root root   44 Jan 17 10:03 fullchain.pem -> ../../archive/www.burwieck.ch/fullchain1.pem
lrwxrwxrwx 1 root root   42 Jan 17 10:03 privkey.pem -> ../../archive/www.burwieck.ch/privkey1.pem

4. Jetzt nur noch die vHost entsprechend anpassen

<IfModule mod_ssl.c>
    SSLEngine on
    SSLProtocol All -SSLv2 -SSLv3
    SSLCertificateFile /etc/letsencrypt/live/www.burwieck.ch/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/www.burwieck.ch/privkey.pem
    SSLCACertificateFile /etc/letsencrypt/live/www.burwieck.ch/fullchain.pem
</IfModule>

5. Simsalabim:

letsencrypt-burwieck-ch

You must be logged in to post a comment.