03 Dec

SSL dank Let's Encrypt

server linux apache ssl Bild: Ingo Hollmann / ingosfotoblog.de

Die Initiative Let's Encrypt hat die Beta-Phase des Projekts jetzt öffentlich gemacht. Dies ist für mich natürlich ein Grund das ganze mal zu testen.

Daher gibt es mein Blog nun unter https und mit Verschlüßelung über die Zertifakte von Let's Encrypt. Wie einfach das war und was dazu gemacht werden muss, beschriebe ich hier dann mal später.

Einige Tage später... um genau zu sein fast einen Monat, habe ich jetzt endlich mal die Zeit gefunden, den Eintrag hier fertig zu schreiben.

Da die komplett automatisierte Einrichtung bei mir nicht komplett funktioniert hat, habe ich einige Schritte manuell durchführen müssen. Hier jetzt eine Schritt für Schritt Anleitung.

  1. Let''s Encrypt Client besorgen. Diesen Erhalten wir über github: 
    git clone https://github.com/letsencrypt/letsencrypt
  2. Evetuell noch abhängigkeiten installieren, bei mir fehlten die Python-Wrapper für und augeas und die dialog-lib für phython, diese noch schnell mit 
    apt-get install python-augeas python3-dialog
  3. Jetzt kanns losgehen. Ins letsencrypt-Verzeichnis wechseln, der Client kann dort mit ./letsencrypt-auto gestartet werden.
  4. Hier die Methode (bei mir apache) auswählen und dann die Webseiten für die ein Zertifikat erstellt werden soll.
  5. Auf OK Klicken und warten, es schaut so aus als würde nichts passieren, aber der Server arbeitet.
  6. Und dann war Ende bei mir. Installation der Zertifikate ist fehlgeschlagen. Aber kein Problem, die Zertifikate sind erstellt und auf meinem Server abgelegt worden. Diese finden Sich unter /etc/letsencrypt/live/www.bughunter2k.de/
  7. Apache einrichten ist recht einfach. Dazu die entsprechende VirtualHost-Config öffnen, den Port auf 443 ändern und folgendes mit eintragen: 
    Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/www.bughunter2k.de/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.bughunter2k.de/privkey.pem
SSLCACertificateFile /etc/letsencrypt/live/www.bughunter2k.de/fullchain.pem
  8. Jetzt noch apache neustarten und es sollte ein Gültiges Zertifikat auf https ausgeliefert werden.

  9. Sinnvoll ist es, die http-Anfragen direkt uaf https Umzuleiten, damit alle Kommunikation über ssl abläuft, dazu einen neuen VirtualHost anlegen:

    <VirtualHost _default_:80>
ServerName bughunter2k.de
ServerAdmin bughunter2k@bughunter2k.de

Redirect permanent / https://www.bughunter2k.de
</VirtualHost>

So, das wars. Wenn das Zertifikat abgelaufen ist, kann dieses mit dem letsencrypt-client auch wieder erneuert werden.

PS: Wer den Client nicht nutzen möchte, der kann auch manuell die Zertifikate Anfordern und Validieren, dazu hat sich wer die Mühe gemacht https://gethttpsforfree.com/

Next Post Previous Post