Konrad M., 15.11.2015
Die neue kostenlose CA (Certificate Authority) "Let's encrypt" startet am 03. Dezember, allerdings habe ich mich bei der Closed-Beta Phase beworben und alle meine Domains wurden akzeptiert. Let's encrypt ist eine kostenlose und freie Zertifizierungsstelle fr SSL-Zertifikate fr Webserver, Mailserver uvm.
Wie man sieht ist der Blog hier nun auch darber verschlsselt und ich mchte euch kurz zeigen, wie das ganze funktioniert.

Zuallererst sollte man sich im klaren sein, dass die Zertifikate nach 90 Tagen ablaufen und man diese immer wieder aktualisieren muss. Es ist daher ntig diesen Prozess zu automatisieren, da es ansonsten schnell passieren kann, dass Zertifikate auslaufen und verschlsselte Verbindungen als nicht sicher markiert werden.

Die Zertifizierungsstelle bietet einen sogenannten ACME-Client an, welcher in der einfachsten Arbeitsweise einen lokalen Webserver ffnet um mit Let's encrypt zu kommunizieren. Wie das ganze mit bereits installiertem Webserver (NGINX, Apache) funktioniert, zeige ich evtl. in einem anderen Blogbeitrag.

Falls Ihr bereits bei der Closed-Beta registriert seid, bzw. wenn es schon nach dem 03. Dezember ist, knnt Ihr Zertifikate wie folgt beziehen. Nach dem dritten Dezember kann dann auch der Teil "--agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory" weggelassen werden.
$ git clone https://github.com/letsencrypt/letsencrypt
$ cd letsencrypt
$ ./letsencrypt-auto certonly --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory --rsa-key-size 4096 -d konradmallok.de -d www.konradmallok.de

Es kann passieren, dass die Domains zwar registriert wurden (Ihr also mal die Besttigung fr die Closed-Beta bekommen habt), aber der Befehl mit "The client lacks sufficient authorization" endet. Falls das passiert einfach so lange den Befehl noch mal ausfhren, bis es klappt ("Congratulations!").

Das ganze msst Ihr dann wie folgt in den NGINX oder Apache2 einpflegen:

NGINX:
ssl_certificate /etc/letsencrypt/live/konradmallok.de/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/konradmallok.de/privkey.pem;

Apache2:
SSLEngine on SSLCertificateFile /etc/letsencrypt/live/konradmallok.de/cert.pem SSLCertificateChainFile /etc/letsencrypt/live/konradmallok.de/chain.pem SSLCertificateKeyFile /etc/letsencrypt/live/konradmallok.de/privkey.pem

Falls Ihr die Einrichtung vom Let's Encrypt Client automatisch machen lassen wollt, knnt Ihr das ganze auch so abfragen:
./letsencrypt-auto run --agree-dev-preview --server https://acme-v01.api.letsencrypt.org/directory --rsa-key-size 4096 -d konradmallok.de -d www.konradmallok.de
Mir gefllt das nicht, weil ich meine Webserver gern selbst einrichte. Bitte denkt daran, das Zertifikat alle 90 Tage zu aktualisieren, einfach mit dem selbem Command.

Viel Spa und super, dass Ihr einen Teil zum verschlsseltem Netz beitragt!

Kommentar schreiben

Bitte JavaScript aktivieren und Seite aktualisieren, um Eintrag zu verfassen.