Valide SSL Zertifikate mit Lets Encrypt / Kostenlose TLS-Zertifikate für alle

Das der Let’s Encrypt Initiative, sind die Tage an denen man viel Geld für valide Zertfikate ausgeben musste gezählt.

Der einfachste und auch schnellste Weg zu einem validen Zertifikat ist, sich die nötige Software von Let’s Encrypt auf seinen Server zu laden.

apt install git
git clone https://github.com/certbot/certbot
cd certbot
./certbot-auto certonly –standalone –rsa-key-size 4096 -d xyz.mydomain.com

Nach der Eingabe der Email-Adresse und der Zustimmung der Nutzungsbedinungen(einmalig) wird das Zertifikat vom Server abgeholt und unter /etc/letsencrypt/live/{domain} gespeichert.
Dort liegen dann folgende Dateien:

  • cert.pem (Öffentliche Zertifikat in Reinform)
  • chain.pem (Öffentliches Zertifikat aus der Keychain)
  • fullchain.pem (zusammengeführt aus cert.pem und chain.pem)
  • privkey.pem (Der private Schlüssel)

Wie schon gesagt, ist das die einfachste Methode. Hierzu muss aber ein eventuell laufender Webserver abgeschaltet sein damit Certbot Port 80 nutzen kann. Wer das nicht will kann noch einen anderen Weg nutzen:

./letsencrypt-auto certonly –webroot -w /var/www/xzy/ -d xyz.mydomain.com

Dieser Weg nutzt einen eventuell vorhanden Webspace um eine Validierung Seitens Lets Encrypt zu ermöglichen.
Let’s Encrypt schreibt dann zur Validierung ein Datei in den Webspace über den die Validierung erfolgt.

Welches Zertifikat für welchen Webserver? Das hängt vom Webserver ab. Ich betreibe einen Webserver basierend auf Nginx. Nginx benötigt nur zwei Dateien. Einmal das öffentliche Zertifikat inklusive der Keychain(fullchain.pem) und den privaten Schlüssel.

ssl_certificate /etc/letsencrypt/live/blog.macsbone.de/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/blog.macsbone.de/privkey.pem;

Wichtig zu erwähnen ist, das die Zertifikate nur eine gültigkeit von 90 Tagen haben. Also sollte am besten vor Ablauf das Zertifikat erneuert werden. Das kann einfach über folgendes Kommando geschehen.

./certbot-auto renew

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.