| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
| tachtler:let_s_encrypt [2018/08/30 08:36] – [/opt/dehydrated-master/etc/config] klaus | tachtler:let_s_encrypt [2021/06/04 20:54] (aktuell) – klaus |
|---|
| [[https://letsencrypt.org/|{{:tachtler:index:letsencrypt-48x48.png }}]] [[https://letsencrypt.org/|Let's Encrypt]] ist eine **kostenlose**, automatisierte und offene Zertifizierungsstelle (CA), welche offiziell dem Nutzen der Öffentlichkeit dienen soll. [[https://letsencrypt.org/|Let's Encrypt]] ist ein Service der von der [[https://letsencrypt.org/isrg|Internet Security Research Group (ISRG)]] zur Verfügung gestellt wird. | [[https://letsencrypt.org/|{{:tachtler:index:letsencrypt-48x48.png }}]] [[https://letsencrypt.org/|Let's Encrypt]] ist eine **kostenlose**, automatisierte und offene Zertifizierungsstelle (CA), welche offiziell dem Nutzen der Öffentlichkeit dienen soll. [[https://letsencrypt.org/|Let's Encrypt]] ist ein Service der von der [[https://letsencrypt.org/isrg|Internet Security Research Group (ISRG)]] zur Verfügung gestellt wird. |
| |
| [[https://letsencrypt.org/|Let's Encrypt]] bietet öffentlich, jederman digitalen Zertifikate an, um HTTPS (SSL / TLS) Verschlüsselung für Websites zu ermöglichen. Dies wird **kostenlos** und in einer möglichst benutzerfreundlichen Art und Weise angeboten. [[https://letsencrypt.org/|Let's Encrypt]] tut dies, weil | [[https://letsencrypt.org/|Let's Encrypt]] bietet öffentlich, jedermann digitalen Zertifikate an, um HTTPS (SSL / TLS) Verschlüsselung für Websites zu ermöglichen. Dies wird **kostenlos** und in einer möglichst benutzerfreundlichen Art und Weise angeboten. [[https://letsencrypt.org/|Let's Encrypt]] tut dies, weil |
| [[https://letsencrypt.org/|Let's Encrypt]] offiziell ein sichereres und die Privatsphäre respektierendes Internet fördern möchte. | [[https://letsencrypt.org/|Let's Encrypt]] offiziell ein sichereres und die Privatsphäre respektierendes Internet fördern möchte. |
| |
| Die Erstellung soll durch Verwendung von nachfolgendem **Skript** durchgeführt werden: | Die Erstellung soll durch Verwendung von nachfolgendem **Skript** durchgeführt werden: |
| * [[https://github.com/lukas2511/dehydrated|dehydrated]] | * [[https://github.com/lukas2511/dehydrated|dehydrated]] |
| welches unter obenstehendem externen Link herunterheladen werden kann. | welches unter oben stehendem externen Link heruntergeladen werden kann. |
| |
| ===== Herunterladen ===== | ===== Herunterladen ===== |
| :!: **HINWEIS** - Beim Einsatz des Standard-Clients von [[https://letsencrypt.org|Let's Encrypt]] mit dem Namen [[https://certbot.eff.org/|certbot]] sind gewisse Einschränkungen gegeben, bzw. dessen Konfiguration ist nicht so komfortabel. | :!: **HINWEIS** - Beim Einsatz des Standard-Clients von [[https://letsencrypt.org|Let's Encrypt]] mit dem Namen [[https://certbot.eff.org/|certbot]] sind gewisse Einschränkungen gegeben, bzw. dessen Konfiguration ist nicht so komfortabel. |
| |
| Nachfolgender Befehl, wechselt in das Verzeichnis **''/opt''**, in dem auch **hier** alle weiteren Konfigurationen und Aktionen durchgeführt werden sollen, damit alle benötigten Komponenten später, zentral an einem Speicherort zu finden sind, was meiner Meinung nach die Handhabung insgesammt vereinfacht. | Nachfolgender Befehl, wechselt in das Verzeichnis **''/opt''**, in dem auch **hier** alle weiteren Konfigurationen und Aktionen durchgeführt werden sollen, damit alle benötigten Komponenten später, zentral an einem Speicherort zu finden sind, was meiner Meinung nach die Handhabung insgesamt vereinfacht. |
| <code> | <code> |
| # cd /opt | # cd /opt |
| </code> | </code> |
| |
| Anschließend kann mit nachfolgendem Befehl das Skript [[https://github.com/lukas2511/dehydrated|dehydrated]] unter **Angabe eines Ziel-Verzeichnisses** und eines **abweichenden Namen, unter dem die heruntergeladene Datei gespeichert werden soll**, heruntergeladen werden: | Anschliessend kann mit nachfolgendem Befehl das Skript [[https://github.com/lukas2511/dehydrated|dehydrated]] unter **Angabe eines Ziel-Verzeichnisses** und eines **abweichenden Namen, unter dem die heruntergeladene Datei gespeichert werden soll**, heruntergeladen werden: |
| <code> | <code> |
| # wget -P /opt -O dehydrated.zip https://github.com/lukas2511/dehydrated/archive/master.zip | # wget -P /opt -O dehydrated.zip https://github.com/lukas2511/dehydrated/archive/master.zip |
| </code> | </code> |
| |
| Anschließend sollten nun nachfolgende Verzeichnisse und Dateien enstanden sein, was mit folgendem Befehl überprüft werden kann und in etwa die folgende Ausgabe erzeugen sollte: | Anschliessend sollten nun nachfolgende Verzeichnisse und Dateien entstanden sein, was mit folgendem Befehl überprüft werden kann und in etwa die folgende Ausgabe erzeugen sollte: |
| <code> | <code> |
| # ls -l * | # ls -l * |
| </code> | </code> |
| |
| Als abschließenden Schritt der Installation, soll nun ebenfalls unter dem Verzeichnis **''/opt''** eine Ordnerstruktur mit nachfolgendem Befehl angelegt werden: | Als abschliessenden Schritt der Installation, soll nun ebenfalls unter dem Verzeichnis **''/opt''** eine Ordnerstruktur mit nachfolgendem Befehl angelegt werden: |
| <code> | <code> |
| # mkdir -p /opt/dehydrated-master/{alpn-certs,accounts,certs,etc,hook,work,www} | # mkdir -p /opt/dehydrated-master/{alpn-certs,accounts,certs,etc,hook,work,www} |
| * <code bash>PRIVATE_KEY_RENEW="no"</code> | * <code bash>PRIVATE_KEY_RENEW="no"</code> |
| |
| Deaktiviert die Erstellung eines **__neuen__ privaten Schlüssels**, bei **__jeder__** Zertifikatserneuerung. | **Deaktiviert** die Erstellung eines **__neuen__ privaten Schlüssels**, bei **__jeder__** Zertifikatserneuerung. |
| |
| :!: **HINWEIS** - Der private Schlüssel sollte trotzdem von Zeit zu Zeit z.B. **1 x Jahr** erneuert werden! | :!: **HINWEIS** - Der private Schlüssel sollte trotzdem von Zeit zu Zeit z.B. **1 x Jahr** erneuert werden! |
| </code> | </code> |
| |
| Abschließend ist ein Neustart des Web-Servers, hier [[http://www.apache.org|Apache HTTPD Server]] mit nachfolgendem Befehl erfordelrich: | Abschließend ist ein Neustart des Web-Servers, hier [[http://www.apache.org|Apache HTTPD Server]] mit nachfolgendem Befehl erforderlich: |
| <code> | <code> |
| # systemctl restart httpd.service | # systemctl restart httpd.service |
| nachfolgende Einstellung **erst geändert werden, wenn die Test-Phase erfolgreich abgeschlossen ist!** | nachfolgende Einstellung **erst geändert werden, wenn die Test-Phase erfolgreich abgeschlossen ist!** |
| * <code bash># Tachtler | * <code bash># Tachtler |
| # default: #CA="https://acme-v01.api.letsencrypt.org/directory" | # default: #CA="https://acme-v02.api.letsencrypt.org/directory" |
| #CA="https://acme-v01.api.letsencrypt.org/directory" | #CA="https://acme-v02.api.letsencrypt.org/directory" |
| # Tachtler - TESTING without LIMITATION - IMPORTANT !!! | # Tachtler - TESTING without LIMITATION - IMPORTANT !!! |
| CA="https://acme-staging.api.letsencrypt.org/directory"</code> | CA="https://acme-staging-v02.api.letsencrypt.org/directory"</code> |
| | |
| | **__Bei__ der ersten Generierung von Zertifikaten**, muss eine **Registrierung** **__einmalig__** erfolgen, welche mit nachfolgendem Befehl durchgeführt werden kann: |
| | <code> |
| | # /opt/dehydrated-master/dehydrated --register --accept-terms --config /opt/dehydrated-master/etc/config |
| | </code> |
| | * //Danke für den Hinweis an: Frank Kirschner// |
| | |
| | :!: **HINWEIS** - **Die zusätzlichen Parameter** |
| | <code> |
| | --register --accept-terms |
| | </code> |
| | **können bei weiteren Zertifikatserstellungen, weg gelassen werden!** |
| |
| <code> | <code> |
| nachfolgende Einstellung **jetzt geändert werden, wenn die Test-Phase erfolgreich abgeschlossen ist!** | nachfolgende Einstellung **jetzt geändert werden, wenn die Test-Phase erfolgreich abgeschlossen ist!** |
| * <code bash># Tachtler | * <code bash># Tachtler |
| # default: #CA="https://acme-v01.api.letsencrypt.org/directory" | # default: #CA="https://acme-v02.api.letsencrypt.org/directory" |
| CA="https://acme-v01.api.letsencrypt.org/directory" | CA="https://acme-v02.api.letsencrypt.org/directory" |
| # Tachtler - TESTING without LIMITATION - IMPORTANT !!! | # Tachtler - TESTING without LIMITATION - IMPORTANT !!! |
| # CA="https://acme-staging.api.letsencrypt.org/directory"</code> | #CA="https://acme-staging-v02.api.letsencrypt.org/directory"</code> |
| |
| <code> | <code> |
