Let’s Encrypt

Aus slknet Wiki
Wechseln zu: Navigation, Suche


Kurzanleitung Let’s Encrypt


Clientsoftware herunterladen

Per SSH auf dem Server einloggen und den Clienten herunterladen:

git clone https://github.com/letsencrypt/letsencrypt


Zertifikate abholen

Beispielscript: (openSUSE)

#!/bin/bash

D=""
D+="-d slknet.de "
D+="-d www.slknet.de "
D+="-d gitweb.slknet.de "

cd letsencrypt

echo "Stop apache2 webserver"
service apache2 stop

## first run
#CMD="./letsencrypt-auto certonly --standalone --email mail@example.com --rsa-key-size 4096 $D"

## refresh
CMD="./letsencrypt-auto certonly --expand --standalone --rsa-key-size 4096 $D"

echo $CMD
$CMD

echo "Start apache2 webserver"
service apache2 start


Server Konfiguration

Apache

Direktiven einbinden in die Server Config oder Virtual Host Config, siehe:

Bis einschließlich Apache 2.4.7:

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/slknet.de/cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/slknet.de/chain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/slknet.de/privkey.pem

Ab Apache 2.4.8:

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/slknet.de/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/slknet.de/privkey.pem

Apache2 HSTS aktivieren (mod_headers erforderlich):

Header always set Strict-Transport-Security "max-age=31556926"

Postfix

/etc/postfix/main.cf: (openSUSE 13.1/13.2)

smtpd_tls_key_file = /etc/letsencrypt/live/slknet.de/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/slknet.de/fullchain.pem

Dovecot

/etc/dovecot/conf.d/10-ssl.conf: (openSUSE 13.1/13.2)

ssl_cert = </etc/letsencrypt/live/slknet.de/fullchain.pem
ssl_key = </etc/letsencrypt/live/slknet.de/privkey.pem


Zertifikat überprüfen

Auf den Webseiten kann die ordnungsgemäße Installation der Zertifikate überprüft werden:


Weblinks