181
Bearbeitungen
Änderungen
Howto/SSL Zertifikate mit Let's Encrypt (Quelltext anzeigen)
Version vom 11. Januar 2017, 18:15 Uhr
, 18:15, 11. Jan. 2017keine Bearbeitungszusammenfassung
cert_client: Rechner, auf den die Zertifikate übertragen werden.
cert_client: Rechner, auf den die Zertifikate übertragen werden.
==Cert_master==
===Software besorgen/installieren:===
apache, openssl installieren
apache, openssl installieren
Dehydrated besorgen:
Dehydrated:
git clone https://github.com/lukas2511/dehydrated
<source lang=bash inline>git clone https://github.com/lukas2511/dehydrated</source>
an passende stelle kopieren, /etc/dehydrated erstellen
an passende stelle kopieren, /etc/dehydrated erstellen
<source lang=bash>
cp dehydrated/dehydrated /usr/local/sbin/dehydrated
cp dehydrated/dehydrated /usr/local/sbin/dehydrated
mkdir -p /etc/dehydrated
</source>
===Dehydrated konfigurieren:===
folgende Dateien unter /etc/dehydrated erstellen:
folgende Dateien unter /etc/dehydrated erstellen:
config: Hier werden die Optionen von dehydrated eingestellt.
'''config''': Hier werden die Optionen von dehydrated eingestellt.
<source lang=bash>
<source lang=bash>
########################################################
########################################################
</source>
</source>
hook.sh: Funktionen, die ausgeführt werden, wenn verschiedene Aktionen durchgeführt wurden. Wir verwenden deploy_cert() für neue und verlängerte Zertifikate. Dort werden lokale (zuckerwatte) Zertifikate für den apache kopiert, Berechtigungen angepasst und apache neugestartet. Und es werden Zertifikate nach /home/cert kopiert, dieses ist das Transferverzeichnis für andere Hosts. Am Ende werden noch alte Zertifikate archiviert (dehydrated -gc).
'''hook.sh''': Funktionen, die ausgeführt werden, wenn verschiedene Aktionen durchgeführt wurden. Wir verwenden deploy_cert() für neue und verlängerte Zertifikate. Dort werden lokale (zuckerwatte) Zertifikate für den apache kopiert, Berechtigungen angepasst und apache neugestartet. Und es werden Zertifikate nach /home/cert kopiert, dieses ist das Transferverzeichnis für andere Hosts. Am Ende werden noch alte Zertifikate archiviert (dehydrated -gc).
<source lang=bash>
<source lang=bash>
#!/usr/bin/env bash
#!/usr/bin/env bash
</source>
</source>
domains.txt: Hier werden die Domains (CNs) für die Zertifikate definiert. Der erste Eintrag ist dabei der CN = Common Name, jeder weitere wird als SAN = Subject Alternative Name eingetragen. Von diesen sind weitere 99 möglich (insgesamt also 100 Namen). Wir haben für jeden Host/jedes Gateway eigene Zertifikate um eine Angriffsfläche im Falle eines Zertifikatsverlusts zu minimieren.
'''domains.txt''': Hier werden die Domains (CNs) für die Zertifikate definiert. Der erste Eintrag ist dabei der CN = Common Name, jeder weitere wird als SAN = Subject Alternative Name eingetragen. Von diesen sind weitere 99 möglich (insgesamt also 100 Namen). Wir haben für jeden Host/jedes Gateway eigene Zertifikate um eine Angriffsfläche im Falle eines Zertifikatsverlusts zu minimieren.
<source lang=bash>
<source lang=bash>
#Hosts
#Hosts