Ich habe Heute alle privaten Domains auf Let’s Encrypt umgestellt, einen Cronjob erstellt, welcher eine Woche vor Ablauf die Zertifikate erneuert.
Die Installation ist sehr schnell und einfach unter Debian vorzunehmen:
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt cd /opt/letsencrypt ./letsencrypt-auto --help
Letzterer Aufruf installiert alle Abhängigkeiten.
./letsencrypt-auto --apache -d $MEINEDOMAIN
Ich hatte zur Sicherheit ein weiteres Backup meine Konfigurationen des Webservers vor dem Ausführen gemacht. Ein Diff aber ergab, dass nur marginale Änderungen in meiner Konfiguration vorgenommen wurden und diese natürlich keine Fehler produzierten.
< SSLCertificateFile /etc/apache2/ssl/cloud_ssl.crt < SSLCertificateKeyFile /etc/apache2/ssl/$MEINEDOMAIN.key < SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem --- > SSLCertificateFile /etc/letsencrypt/live/$MEINEDOMAIN/fullchain.pem > SSLCertificateKeyFile /etc/letsencrypt/live/$MEINEDOMAIN/privkey.pem 33c32 < Header always add Strict-Transport-Security "max-age=15768000; includeSubDomains; preload" --- > Header always add Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
Ich habe dann noch ein Script geschrieben welches das Ablaufdatum der Zertifikate täglich überprüft und 1 Woche vor Ablauf ein renewal vornimmt und den Apache neu startet. Hier muss ich vor dem verteilen des Scriptes auf github noch ein paar Änderungen vornehmen, welches noch Fehler auffängt und sie per Mail versendet etc.
Sprecht mich mal in zwei Wochen an, falls ich es vergesse :)
Da das TLS-Zertifikat des Blogs erst 27. August 2016 und All-inkl leider noch nicht wie mein Backuphoster Netcup.de ein Automatismus für das Erstellen von Zertifkaten für Let’s Encrypt besitzt warte ich erst einmal noch ab. Faulheit siegt in dem Moment \°/
Danke für die einfache Anleitung. Da ein Zertifikat bei mir kurz vor Ablauf ist, wollte ich nun endlich auch einmal Let’s Encrypt ausprobieren. Der Aufruf „./letsencrypt –help“ wirft dann gleich mal automatisch und ohne nachzufragen folgende Pakete auf die Platte… WTH…
Die folgenden NEUEN Pakete werden installiert:
augeas-lenses cpp cpp-4.9 dh-python dialog gcc gcc-4.9 libasan1 libatomic1 libaugeas0 libc-dev-bin libc6-dev
libcilkrts5 libcloog-isl4 libexpat1-dev libffi-dev libgcc-4.9-dev libisl10 libitm1 liblsan0 libmpc3 libmpdec2
libpython-dev libpython2.7 libpython2.7-dev libpython3-stdlib libpython3.4-minimal libpython3.4-stdlib libquadmath0
libssl-dev libtsan0 libubsan0 linux-libc-dev python-chardet-whl python-colorama-whl python-dev python-distlib-whl
python-html5lib-whl python-pip-whl python-requests-whl python-setuptools-whl python-six-whl python-urllib3-whl
python-virtualenv python2.7-dev python3 python3-minimal python3-pkg-resources python3-virtualenv python3.4
python3.4-minimal virtualenv zlib1g-dev
Zur Anzeige der Hilfe… Schade, dass der von mir eingesetzte Nginx bisher nur schlecht unterstützt wird: „nginx support is experimental, buggy, and not installed by default“. Außerdem werde ich aus dem Quickstart nicht so richtig schlau. Was ist der Unterschied zwischen „–apache“ und „–standalone“? „–webroot“ ist klar. Vorerst werde ich wohl nur manuell ein Zertifikat holen. In Nginx muss ich es ja eh noch per Hand einbinden.
Apache war auch erst ein Test von mir, verlief aber wirklich Super.
Und mit der automatischen Installation der Pakete, ich denke da sollte ich mal einen Patch liefern, welcher noch einmal freundlich nachfragt ob er dies machen sollte.