Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:let_s_encrypt_-_wildcard_zertifikat [2018/08/30 09:08] – klaus
+++ tachtler:let_s_encrypt_-_wildcard_zertifikat [2018/08/30 12:52] (aktuell) – [Generierung] klaus
@@ Zeile 712: / Zeile 712: @@
 # systemctl restart httpd.service
 </code>
+===== Generierung: Test =====
+Durch nachfolgenden Befehl, wird die Erstellung eines
+  * **privaten Schlüssels**
+  * **Zertifikast-Requests**
+  * **Zertifikats**
+und einer
+  * **einfachen Zertifikatskette**
+  * **vollständigen Zertifikatskette**
+für die Verwendung mit einem Web-Server durchgeführt werden.
+:!: **WICHTIG** - Während der Einrichtung und **Test**-Phase, sollte **__nicht__ gegen die Produktiven Systeme** von [[https://letsencrypt.org/|Let's Encrypt]] getestet werden, da hier relativ rasch ein **Resourcen-Limit** von Anfragen in einer bestimmten Zeit greift. Erst wenn das Skript voll funktionsfähig und getestet ist und alle Konfigurationen entsprechend abgeschlossen sind, sollte hier dann das Produktive System von [[https://letsencrypt.org/|Let's Encrypt]] konfiguriert werden!
+Deshalb sollte in der Konfigurationsdatei
+  * ''/opt/dehydrated-master/etc/config''
+nachfolgende Einstellung **erst geändert werden, wenn die Test-Phase erfolgreich abgeschlossen ist!**
+  * <code bash># Tachtler
+# default: #CA="https://acme-v02.api.letsencrypt.org/directory"
+#CA="https://acme-v02.api.letsencrypt.org/directory"
+# Tachtler - TESTING without LIMITATION - IMPORTANT !!!
+CA="https://acme-staging-v02.api.letsencrypt.org/directory"</code>
+<code>
+# /opt/dehydrated-master/dehydrated -c --config /opt/dehydrated-master/etc/config
+</code>
+Hier die Ausgaben, welche durch den Skript lauf erzeugt werden:
+<code>
+# /opt/dehydrated-master/dehydrated -c --config /opt/dehydrated-master/etc/config
+# INFO: Using main config file /opt/dehydrated-master/etc/config
+Processing tachtler.net with alternative names: *.tachtler.net www.dokuwiki.tachtler.net
+ + Checking domain name(s) of existing cert... changed!
+ + Domain name(s) are not matching!
+ + Names in old certificate: tachtler.net www.tachtler.net dokuwiki.tachtler.net
+ + Configured names: *.tachtler.net tachtler.net www.dokuwiki.tachtler.net
+ + Forcing renew.
+ + Checking expire date of existing cert...
+ + Valid till Oct  2 12:21:13 2018 GMT (Less than 90 days). Renewing!
+ + Signing domains...
+ + Generating signing request...
+ + Requesting new certificate order from CA...
+ + Received 3 authorizations URLs from the CA
+ + Handling authorization for tachtler.net
+ + Handling authorization for tachtler.net
+ + Handling authorization for www.dokuwiki.tachtler.net
+ + 3 pending challenge(s)
+ + Deploying challenge tokens...
+Add the following to the zone definition of tachtler.net:
+_acme-challenge.tachtler.net. 60 IN TXT "qlJ_4P5MjybB21jpBpOgL3-VJdCCX4N53iKw43P-DTZ"
+Press enter to continue...
+Add the following to the zone definition of tachtler.net:
+_acme-challenge.tachtler.net. 60 IN TXT "g5L1vwzebrHBehTadd_2M_Y3Kg5eB43wc7dxb53q8CwI"
+Press enter to continue...
+Add the following to the zone definition of www.dokuwiki.tachtler.net:
+_acme-challenge.www.dokuwiki.tachtler.net. 60 IN TXT "zkE-SIfzeWpkQD9G_Uv9bnf6HwtGjo_jrTRuoNgs-tk2"
+Press enter to continue...
+ + Responding to challenge for tachtler.net authorization...
+ + Challenge is valid!
+ + Responding to challenge for tachtler.net authorization...
+ + Challenge is valid!
+ + Responding to challenge for www.dokuwiki.tachtler.net authorization...
+ + Challenge is valid!
+ + Cleaning challenge tokens...
+Now you can remove the following from the zone definition of tachtler.net:
+_acme-challenge.tachtler.net. 60 IN TXT "qlJ_4P5MjybB21jpBpOgL3-VJdCCX4N53iKw43P-DTZ"
+Press enter to continue...
+Now you can remove the following from the zone definition of tachtler.net:
+_acme-challenge.tachtler.net. 60 IN TXT "g5L1vwzebrHBehTadd_2M_Y3Kg5eB43wc7dxb53q8CwI"
+Press enter to continue...
+Now you can remove the following from the zone definition of www.dokuwiki.tachtler.net:
+_acme-challenge.www.dokuwiki.tachtler.net. 60 IN TXT "zkE-SIfzeWpkQD9G_Uv9bnf6HwtGjo_jrTRuoNgs-tk2"
+Press enter to continue...
+ + Requesting certificate...
+ + Checking certificate...
+ + Done!
+ + Creating fullchain.pem...
+ + Done!
+</code>
+^   :!: **WICHTIG** :!:   ^
+| **__Immer__** wenn während der **Ausführung des Skripts** nachfolgender Text erscheint:\\ \\ <code>Add the following to the zone definition of ...</code>ist **__zeitnah__** der darunter **aufgelistete DNS-Eintrag** auf dem entsprechenden **DNS-Server**, in der **jeweiligen DNS-Zone(ndatei)** zu setzen !!! |
+Anschließend kann mit nachfolgendem Befehl überprüft werden, ob alle benötigten Komponenten, wie:
+  * **privaten Schlüssels**
+  * **Zertifikast-Requests**
+  * **Zertifikat**
+  * **einfachen Zertifikatskette**
+  * **vollständigen Zertifikatskette**
+erzeugt worden sind:
+<code>
+# ls -l /opt/dehydrated-master/certs/*
+/opt/dehydrated-master/certs/tachtler.net:
+total 24
+-rw------- 1 root root 1704 Aug 30 09:12 cert-1535613155.csr
+-rw------- 1 root root 2508 Aug 30 09:12 cert-1535613155.pem
+lrwxrwxrwx 1 root root   19 Aug 30 09:12 cert.csr -> cert-1535613155.csr
+lrwxrwxrwx 1 root root   19 Aug 30 09:12 cert.pem -> cert-1535613155.pem
+-rw------- 1 root root 1680 Aug 30 09:12 chain-1535613155.pem
+lrwxrwxrwx 1 root root   20 Aug 30 09:12 chain.pem -> chain-1535613155.pem
+-rw------- 1 root root 4188 Aug 30 09:12 fullchain-1535613155.pem
+lrwxrwxrwx 1 root root   24 Aug 30 09:12 fullchain.pem -> fullchain-1535613155.pem
+-rw------- 1 root root 3243 Aug 30 09:12 privkey-1535613155.pem
+lrwxrwxrwx 1 root root   22 Aug 30 09:12 privkey.pem -> privkey-1535613155.pem
+</code>
+:!: **HINWEIS** - Hier ist ebenfalls schön zu sehen, da jeweils **symbolische Links** erstellt wurden, was bei einer erneuten Generierung **__keine__** Konfiguration in den Web-Server Konfigurationsdateien nach sich zieht, da nur die symblischen Links angepasst werden!
+===== Generierung =====
+Wie auch bei der Generierung des Zertifikas gegen die [[https://letsencrypt.org/|Let's Encrypt]]-Server, ist Vorgehensweise exakt die gleiche.
+:!: **WICHTIG** - Während der Einrichtung und **Test**-Phase, sollte **__nicht__ gegen die Produktiven Systeme** von [[https://letsencrypt.org/|Let's Encrypt]] getestet werden, da hier relativ rasch ein **Resourcen-Limit** von Anfragen in einer bestimmten Zeit greift. Erst wenn das Skript voll funktionsfähig und getestet ist und alle Konfigurationen entsprechend abgeschlossen sind, sollte hier dann das Produktive System von [[https://letsencrypt.org/|Let's Encrypt]] konfiguriert werden!
+Deshalb sollte in der Konfigurationsdatei
+  * ''/opt/dehydrated-master/etc/config''
+nachfolgende Einstellung **jetzt geändert werden, wenn die Test-Phase erfolgreich abgeschlossen ist!**
+  * <code bash># Tachtler
+# default: #CA="https://acme-v02.api.letsencrypt.org/directory"
+CA="https://acme-v02.api.letsencrypt.org/directory"
+# Tachtler - TESTING without LIMITATION - IMPORTANT !!!
+#CA="https://acme-staging-v02.api.letsencrypt.org/directory"</code>
+<code>
+# /opt/dehydrated-master/dehydrated -c --config /opt/dehydrated-master/etc/config
+</code>
+Nach dem ersten Versuch die Erstellung des Zertifikats durchzuführen, kommt nachfolgende **Meldung**:
+<code>
+# /opt/dehydrated-master/dehydrated -c --config /opt/dehydrated-master/etc/config
+# INFO: Using main config file /opt/dehydrated-master/etc/config
+To use dehydrated with this certificate authority you have to agree to their terms of service which you can find here: https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf
+To accept these terms of service run `/opt/dehydrated-master/dehydrated --register --accept-terms`.
+</code>
+Hier ist, wie angegeben die **Registrierung** und das Akzeptieren der **Bedingungen** von [[https://letsencrypt.org/|Let's Encrypt]] noch ausstehend, was beides mich nachfolgendem Befehl durchgeführt werden kann:
+<code>
+# /opt/dehydrated-master/dehydrated --register --accept-terms
+</code>