Webserver

SSL Zertifikat kostenlos mit Let’s Encrypt erstellen

Thierry 0 Comments

Ein Secure Socket Layer (SSL) Zertifikat schützt deinen Server und Webseite, zusätzlich werden vertrauliche Daten beim Übermitteln verschlüsselt. Zum anderen enthalten SSL-Zertifikate vertrauenswürdige Informationen über den Zertifikatsinhaber und bestätigen somit die Identität des Betreibers einer Webseite bzw. eines Servers.

Mit Let’s Encrypt können beliebig viele Zertifikate für die eigene Domain erstellt werden und dies sogar kostenlos. Die Zertifikate sind jeweils 3 Monate gültig und können vor Ablauf erneuert werden. Wie die Automatisch geschehen kann versuche ich bei einem nächsten Blog zu erläutern. Übrigens wird bei dieser Seite ebenfalls ein solche Zertifikat verwendet.

Der folgende Client muss mit dieser Anleitung auf den Webserver ausgeführt werden, dadurch muss kurzzeitig der Webserver Betrieb unterbrochen werden.

Wenn wir mit root rechten auf dem Webserver verbunden sind, müssen wir zuerst Certbot (ACME-Client) installieren:

git clone https://github.com/certbot/certbot

danach wechseln wir in den Certbot Ordner:

cd certbot

Bevor wir das Zertifikat abholen können müssen wir den Webserver kurz abschalten, damit der Port 80 für den Certbot zur Verfügung steht.

service apache2 stop

Nun können wir mit der Zertifikatsabfrage weiterfahren:

./certbot-auto certonly --standalone --rsa-key-size 4096 -d thierrys-blog.ch -d www.thierrys-blog.ch

Mit der „certonly“ Option werden die Zertifikate nur abgeholt und gespeichert, nicht aber automatisch in die Webserver-Konfiguration eingebunden. Die Webserver-Konfiguration nehme ich lieber in die Hand. Mit „-rsa-key-size“ wird die Länge für den zu generienden Key angegeben, wir nehmen hier 4096 statt der standardmässigen 2048Bit. Danach folgen mit „-d“ die Domains auf dass das Zertifikat gelten soll. Vor jedem Domain wird ein „-d“ gestellt.

Danach wir die Eingabe einer E-Mail Adresse verlangt, sowie die Zustimmung der Nutzungsbedingungen (nur einmalig). Bei der E-Mail Adresse empfiehlt es sich die richtige anzugeben, den darüber werdet Ihr frühzeitig informiert wenn das Zertifikat ablauft.

Nun findet ihr eure Zertifikate unter /etc/letsencrypt/live/(Domain) die man wie bereits bei Apache2 Konfigurations VirtualHost erklärt, einbinden kann.

Nachdem diese Konfiguration angepasst wurde, könnt ihr euren Webserver wieder starten und kontrollieren ob die Zertifikate ordnungsgemäss funktionieren.

service apache2 restart

 

Nicht vergessen, die Let’s Encrypt Zertifikate sind nur 90 Tage gültig und sollten am besten schon ein paar Tage vorher erneuert werden. Dazu stellt ihr einfach nochmal eine Zertifikatsanfrage wie oben beschrieben aus, dabei muss die Webserver Konfiguration nicht umgestellt oder angepasst werden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.