Ich habe hier im Blog bereits mal über eine Möglichkeit geschrieben sich kostenlose Zertifikate mittels Let´s Encrypt erstellen zu lassen. Vor Kurzem bin ich auf das Tool certbot gestoßen, das diesen Vorgang noch vereinfacht. Daher möchte ich das Tool jetzt hier kurz vorstellen.

Um das Tool zu installieren müsst ihr zuerst die Debian 8 Jessie Backports als Paketquellen hinzufügen.

echo 'deb http://ftp.debian.org/debian jessie-backports main' >> /etc/apt/sources.list

Nach einem erneuten updaten eurer Paketquellen könnt ihr certbot einfach installieren.

apt-get update
apt-get install certbot -t jessie-backports

Nun erstellen wir die benötigten „Freigaben“, damit certbot unsere Identität überprüfen kann. Dazu gebt ihr folgendes in die Konsole ein:

echo "location ^~ /.well-known/acme-challenge/ {
	default_type "text/plain";
	root /var/www/letsencrypt;
}" >> /etc/nginx/snippets/letsencrypt.conf

Als nächstes erstellen wir das Verzeichnis, in dem alle Zertifikats-Anfragen bearbeitet werden sollen.

mkdir -p /var/www/letsencrypt/.well-known/acme-challenge

Damit euer nginx Server nun die Anfragen von certbot beantworten könnt, müsst ihr folgende Zeile in eurer nginx Konfiguration hinzufügen:

include /etc/nginx/snippets/letsencrypt.conf;

Dies wäre also zum Beispiel in der „Default“ Konfiguration:

nano /etc/nginx/sites-available/default
server {
	listen 80 default_server;
	listen [::]:80 default_server;

	include /etc/nginx/snippets/letsencrypt.conf;
        .
        .
	}
}

Diese Zeile müsst ihr in ALLE Konfigurationen hinzufügen, die ein Zertifikat bekommen sollen.

Nun müsst ihr festlegen, für welche Domains euer Zertifikat gültig sein soll.

certbot certonly – rsa-key-size 4096 – webroot -w /var/www/letsencrypt -d eureDomain.de -d www.eureDomain.de

Erklärung:

rsa-key-size: Gibt die Schlüssellänge an. 4096Bit zählt derzeit als sicher.

webroot: Gibt das Verzeichnis für die Anfragen an. Dies ist unser neu erstellter Ordner

-d eureDomain.de: Hier könnt ihr nun alle Domains hinschreiben, die ihr im Zertifikat haben wollt.

Optional: – dry-run -> dient zum Testen, ob alles funktioniert

Nun werdet ihr gebeten eine Email Adresse als Kontakt zu hinterlegen.

Wenn ihr fertig seid und alles funktioniert hat, dann sollte es bei euch auch so aussehen.

Einbinden in nginx

ssl on;
ssl_certificate /etc/letsencrypt/live/technikrebell.de/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/technikrebell.de/privkey.pem;

Einbinden in Apache2

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/technikrebell.de/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/technikrebell.de/privkey.pem

 

 

 

Teile diesen Beitrag
Christian

Categories:

Keine Kommentare vorhanden

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.