Konrad M., 15.11.2015
Die neue kostenlose CA (Certificate Authority) "Let's encrypt" startet am 03. Dezember, allerdings habe ich mich bei der Closed-Beta Phase beworben und alle meine Domains wurden akzeptiert. Let's encrypt ist eine kostenlose und freie Zertifizierungsstelle für SSL-Zertifikate für Webserver, Mailserver uvm.
Wie man sieht ist der Blog hier nun auch darüber verschlüsselt und ich möchte euch kurz zeigen, wie das ganze funktioniert.

Zuallererst sollte man sich im klaren sein, dass die Zertifikate nach 90 Tagen ablaufen und man diese immer wieder aktualisieren muss. Es ist daher nötig diesen Prozess zu automatisieren, da es ansonsten schnell passieren kann, dass Zertifikate auslaufen und verschlüsselte Verbindungen als nicht sicher markiert werden.

Die Zertifizierungsstelle bietet einen sogenannten ACME-Client an, welcher in der einfachsten Arbeitsweise einen lokalen Webserver öffnet um mit Let's encrypt zu kommunizieren. Wie das ganze mit bereits installiertem Webserver (NGINX, Apache) funktioniert, zeige ich evtl. in einem anderen Blogbeitrag.

Falls Ihr bereits bei der Closed-Beta registriert seid, bzw. wenn es schon nach dem 03. Dezember ist, könnt Ihr Zertifikate wie folgt beziehen. Nach dem dritten Dezember kann dann auch der Teil "--agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory" weggelassen werden.
$ git clone https://github.com/letsencrypt/letsencrypt
$ cd letsencrypt
$ ./letsencrypt-auto certonly --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory --rsa-key-size 4096 -d konradmallok.de -d www.konradmallok.de

Es kann passieren, dass die Domains zwar registriert wurden (Ihr also mal die Bestätigung für die Closed-Beta bekommen habt), aber der Befehl mit "The client lacks sufficient authorization" endet. Falls das passiert einfach so lange den Befehl noch mal ausführen, bis es klappt ("Congratulations!").

Das ganze müsst Ihr dann wie folgt in den NGINX oder Apache2 einpflegen:

NGINX:
ssl_certificate /etc/letsencrypt/live/konradmallok.de/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/konradmallok.de/privkey.pem;

Apache2:
SSLEngine on SSLCertificateFile /etc/letsencrypt/live/konradmallok.de/cert.pem SSLCertificateChainFile /etc/letsencrypt/live/konradmallok.de/chain.pem SSLCertificateKeyFile /etc/letsencrypt/live/konradmallok.de/privkey.pem

Falls Ihr die Einrichtung vom Let's Encrypt Client automatisch machen lassen wollt, könnt Ihr das ganze auch so abfragen:
./letsencrypt-auto run --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory --rsa-key-size 4096 -d konradmallok.de -d www.konradmallok.de
Mir gefällt das nicht, weil ich meine Webserver gern selbst einrichte. Bitte denkt daran, das Zertifikat alle 90 Tage zu aktualisieren, einfach mit dem selbem Command.

Viel Spaß und super, dass Ihr einen Teil zum verschlüsseltem Netz beitragt!

Kommentar schreiben

Bitte JavaScript aktivieren und Seite aktualisieren, um Eintrag zu verfassen.