Home
Linux-ServerLet's Encrypt
Dieses Dokument gibt einen Überblick über das Erstellen bzw. Aktualisieren von SSL-Zertifikaten über Let's Encrypt.
Allgemein
Die Zertifikate werden über den Webservice von
Let's Encrypt erzeugt und
aktualisiert.
Sie sind jeweils für 90 Tage gültig.
Installation/Konfiguration
Als Vorbereitung müssen im DNS-Server folgende Einträge hinzugefügt werden
- nc.linux03 --> 192.168.0.10 (DNS-Host)
- pasemann-knesebeck.com --> linux03 (DNS-Alias)
- nc.pasemann-knesebeck.com --> nc.linux03 (DNS-Alias)
- mail.pasemann-knesebeck.com --> nc.linux03 (DNS-Alias)
Anschließend kann die eigentliche Software zur Verwaltung der Zertifikate
installiert werden.
apt-get install certbot python-certbot-apache
Mit dem folgenden Befehl können die Zertifikate erstellt werden.
certbot certonly --manual --preferred-challenges dns -d pasemann-knesebeck.com -d nc.pasemann-knesebeck.com -d mail.pasemann-knesebeck.com
Bevor der eben genannte Befehl zu Ende ausgeführt werden kann, sind für die drei
Domains auf selfhost.de die folgenden Textrecords
zu erstellen.
_acme-challenge.pasemann-knesebeck.com
_acme-challenge.nc.pasemann-knesebeck.com
_acme-challenge.mail.pasemann-knesebeck.com
Testen kann man die Einträge mit
dig _acme-challenge.pasemann-knesebeck.com txt bzw.
nslookup -q=TXT _acme-challenge-pasemann-knesebeck.com
Nun sollten die Zertifikate erfolgreich generiert sein. Zu finden
sind sie unter
/etc/letsencrypt/live/pasemann-knesebeck.com
Nun können die eigentlichen Dienste zur Nutzung der Zertifikate eingerichtet werden
Apache2
siehe die Konfigurationsdateien unter
/etc/apache2/sites-available
Exim4
# pasemann-knesebeck.com als dc_other_hostname aufnehmen
# vi /etc/exim4/update-exim4.conf.conf
cp /etc/letsencrypt/live/pasemann-knesebeck.com/privkey.pem exim.key
cp /etc/letsencrypt/live/pasemann-knesebeck.com/fullchain.pem exim.crt
service exim4 restart
Dovecot
# Pfad zu den Dateien angeben
vi /etc/dovecot/conf.d/10-ssl.conf
ssl_cert = </etc/letsencrypt/live/pasemann-knesebeck.com/fullchain.pem
ssl_key = </etc/letsencrypt/live/pasemann-knesebeck.com/privkey.pem
service dovecot restart
Aktualisierung der Zertifikate
Da wir die Zertifikate manuell erstellt haben, müssen wir sie auch
regelmäßig aktualisieren. Dazu wird jeweils am 26. jeden Monats das Skript
/opt/bin/updateCerts.sh
aufgerufen.
Für die detaillierten Schritte bitte im Skript nachschauen.
top
ToDo