Computerclub Pinneberg

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
lets_encrypt

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
lets_encrypt [10.05.2018 13:26] – [Erneuerung] thoogelets_encrypt [20.11.2023 16:13] (aktuell) thooge
Zeile 8: Zeile 8:
  
   - Installation des Scripts und der Umgebung<code>   - Installation des Scripts und der Umgebung<code>
-cd /usr/local/src/ +apt-get install acme-tiny
-git clone https://github.com/diafygi/acme-tiny.git+
  
 mkdir /var/www/lets_encrypt mkdir /var/www/lets_encrypt
 cd /var/www cd /var/www
 chmod 750 lets_encrypt chmod 750 lets_encrypt
-chown www-datalets_encrypt +chgrp www-data lets_encrypt
-cd lets_encrypt +
-cp /usr/local/src/acme-tiny/acme_tiny.py . +
-chmod 740 acme_tiny.py+
 </code> </code>
   - Account-Schlüssel anlegen<code>   - Account-Schlüssel anlegen<code>
 +cd /var/www/lets_encrypt
 openssl genrsa 2048 > account.key openssl genrsa 2048 > account.key
 chmod 400 account.key chmod 400 account.key
 </code> </code>
   - Domainschlüssel anlegen<code>   - Domainschlüssel anlegen<code>
-openssl genrsa 2048 > <domain>.key +openssl genrsa 2048 > /etc/ssl/private/<domain>.key 
-chmod 640 <domain>.key+chmod 640 /etc/ssl/private/<domain>.key
 </code> </code>
-  - CSR erstellen<code> +  - SAN-Konfiguration erstellenSAN können über die Angabe einer Konfigurationsdatei mit Optionen eingestellt werden. Beachte, daß die Hauptdomain ebenfalls in die Liste der SAN eingeschlossen wird. <file conf domain-san.conf>
-openssl req -new -sha256 -key <domain>.key -subj "/CN=<domain1>" -config <domain>-san.conf > <domain>.csr +
-chmod 640 <domain>.csr +
-</code> SAN können über die Angabe einer Konfigurationsdatei mit Optionen eingestellt werden. Beachte, daß die Hauptdomain ebenfalls in die Liste der SAN eingeschlossen wird. ''-config san.conf''<file conf domain-san.conf>+
 [req] [req]
 distinguished_name = req_distinguished_name distinguished_name = req_distinguished_name
Zeile 36: Zeile 30:
  
 [req_distinguished_name] [req_distinguished_name]
-CN = www.piratenfraktion-sh.de+CN = www.example.com
  
 [v3_req] [v3_req]
Zeile 46: Zeile 40:
 DNS.3 = sub.www.example.com DNS.3 = sub.www.example.com
 </file> </file>
 +  - CSR erstellen<code>
 +openssl req -new -sha256 -key /etc/ssl/private/<domain>.key \
 +    -subj "/CN=<domain1>" -config <domain>-san.conf > <domain>.csr
 +chmod 640 <domain>.csr
 +</code>
   - Prüfe, ob der CSR korrekten Inhalt hat<code>   - Prüfe, ob der CSR korrekten Inhalt hat<code>
 openssl req -in <domian>.csr -noout -text openssl req -in <domian>.csr -noout -text
Zeile 52: Zeile 51:
 mkdir challenges mkdir challenges
 chmod 750 challenges chmod 750 challenges
-chown www-datachallenges+chgrp www-data challenges
 </code> </code>
     * Lighttpd:<file conf /etc/lighttpd/lighttpd.conf>     * Lighttpd:<file conf /etc/lighttpd/lighttpd.conf>
 alias.url += ( "/.well-known/acme-challenge/" => "/var/www/lets_encrypt/challenges/" ) alias.url += ( "/.well-known/acme-challenge/" => "/var/www/lets_encrypt/challenges/" )
 +
 +$HTTP["scheme"] == "http" {
 + url.redirect = (
 + "^/\.well-known/acme-challenge/.*" => "",
 + "^/(.*)" => "https://www.example.com/$1"
 + )
 +}
 </file> </file>
     * Apache:<file conf /etc/apache2/sites-available/000-default.conf>     * Apache:<file conf /etc/apache2/sites-available/000-default.conf>
Zeile 62: Zeile 68:
 SSLCertificateFile /var/www/lets_encrypt/signed.crt SSLCertificateFile /var/www/lets_encrypt/signed.crt
 SSLCertificateKeyFile /var/www/lets_encrypt/domain.key SSLCertificateKeyFile /var/www/lets_encrypt/domain.key
-</file>+</file>Falls SSL erzwungen werden soll, so kann dieses wie folgt eingestellt werden<code> 
 +RedirectMatch Permanent ^(?!/\.well-known/).* https://www.example.com 
 +</code>
     * Nginx:<file conf /etc/nginx/default>     * Nginx:<file conf /etc/nginx/default>
 location ^~ /.well-known/acme-challenge/ { location ^~ /.well-known/acme-challenge/ {
Zeile 72: Zeile 80:
 } }
 </file> </file>
-  - Webserver neu laden 
-    * Apache: ''/etc/init.d/apache2 reload'' 
   - Zertifikat anfordern<code>   - Zertifikat anfordern<code>
-./acme_tiny.py --account-key ./account.key --csr ./<domain>.csr --acme-dir /var/www/lets_encrypt/challenges/./<domain>.crt +acme-tiny --account-key account.key --csr <domain>.csr --acme-dir /var/www/lets_encrypt/challenges/ > <domain>.crt 
-chmod 640 signed.crt+chmod 640 <domain>.crt
 </code> </code>
-  - Intermediate Zertifikat holen<code> +  - Zertifikat an Zielposition ablegen<code>
-wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem +
-cat intermediate.pem >> <domain>.crt +
-</code> +
-  - Zertifikat ind Schlüssel an Zielposition ablegen<code>+
 cp -p <domain>.crt /etc/ssl/certs/ cp -p <domain>.crt /etc/ssl/certs/
-cp -p <domain>.key /etc/ssl/private/ 
 </code> </code>
   - Anschließend Zertifikat und Schlüssel im der entsprechenden Webserverkonfiguration einbauen   - Anschließend Zertifikat und Schlüssel im der entsprechenden Webserverkonfiguration einbauen
 +  - Webserver neu laden
 +    * Apache: ''/etc/init.d/apache2 reload''
 +    * Nginx: ''/etc/init.d/nginx reload''
 +
 ===== Überprüfung ===== ===== Überprüfung =====
  
Zeile 99: Zeile 104:
  
   - Erneuertes Zertifikat anfordern<code>   - Erneuertes Zertifikat anfordern<code>
-./acme_tiny.py --account-key ./account.key --csr ./<domain>.csr --acme-dir /var/www/lets_encrypt/challenges/./<domain>.crt+cd /var/www/lets_encrypt 
 +acme-tiny --account-key account.key --csr <domain>.csr --acme-dir /var/www/lets_encrypt/challenges/ > <domain>.crt
 chmod 640 <domain>.crt chmod 640 <domain>.crt
 </code> </code>
-  - Intermediate Zertifikat holen und anfügen<code>+  - ggf. Intermediate Zertifikat holen und anfügen<code>
 wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
 cat intermediate.pem >> <domain>.crt cat intermediate.pem >> <domain>.crt
 </code> </code>
   - Zertifikat ind Schlüssel an Zielposition ablegen<code>   - Zertifikat ind Schlüssel an Zielposition ablegen<code>
-cp <domain>.crt /etc/ssl/certs/+cp -p <domain>.crt /etc/ssl/certs/
 </code> </code>
   - Neuladen der Serverkonfiguration<code>   - Neuladen der Serverkonfiguration<code>
lets_encrypt.1525958789.txt.gz · Zuletzt geändert: von thooge
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki