xProg.de - Willkommen

Let's Encrypt revolutioniert mit kostenlosen Zertifikaten.

Cliff (Username: cHAp) (Administrator) on 29.03.2017

Mit Let’s Encrypt lassen sich nun seit gut über einem Jahr kostenlose Zertifikate für jederman erstellen. Seit 3. Dezember 2015 befindet sich das Projekt in einer Public Beta Phase und ist bereits die fünftgrößte CA weltweit.

Mit Let’s Encrypt lassen sich nun seit gut über einem Jahr kostenlose Zertifikate für jederman erstellen. Seit 3. Dezember 2015 befindet sich das Projekt in einer Public Beta Phase und ist bereits die fünftgrößte CA weltweit. Das Projekt hat sich zur Aufgabe gesetzt, verschlüsselte HTTPS-Verbindungen im Internet zum Standard zu machen. Bereits jetzt werden von Let’s Encrypt signierte Zertifikate in allen modernen, gängigen Browsern und Betriebssystemen akzeptiert.

Es gibt verschiedene Möglichkeiten Let's Encrypt zu nutzen. Wie das bereits in einer kurzform funktioniert habe ich bereits in der folgenden Installationsanleitung (Collabora Online Server mit Nextcloud auf Ubuntu 16.04 TLS, Installationsanleitung) beschrieben. Viele wege führen schließlich nach Rom.

Wie man SSL-Zertifikate von Let's Encrypt automatisch erstellt, erkläre ich euch jetzt.

Zum Signieren von Zertifikaten mit Let’s Encrypt gibt es mehrere Möglichkeiten. So bietet Let’s Encrypt selbst einen eigenen Client bzw. eigenes ACME. Daneben gibt es aber noch andere Clients / ACME zum Signieren der Zertifikate. Im Folgenden wird ein Zertifikat automatisiert mit dem offiziellen Let’s Encrypt ACME erstellt und signiert. Leider lädt das Tool einiges an Paketen nach und erfordert root-Rechte. Zudem muss der eigene Webserver für die Zeit des Erstellens heruntergefahren werden. Denn nur unter dieser Voraussetzung kann der Client einen eigenen kleinen Webserver starten und die Domaininhaberschaft validieren.

Zur offiziellen Kurzanleitung. Eine ausführliche Anleitung ist auf readthedocs.org zu finden.

Voraussetzung für die Installation ist Git. Git und der Let’s Encrypt ACME Client können so heruntergeladen und vollständig installiert werden:

sudo apt-get install git
cd /opt
sudo git clone https://github.com/certbot/certbot
cd certbot
./letsencrypt-auto --help

Bei der automatisierten Erstellung von signierten Zertifikaten muss zudem der Webserver gestoppt werden.

Apache2:

sudo /etc/init.d/apache2 stop

Nginx:

sudo /etc/init.d/nginx stop

Nun kann das Zertifikat automatisiert erstellt werden.

./letsencrypt-auto certonly --standalone -d domain.de -d www.domain.de

Dabei gibt "certonly"  an, dass kein Webserver zu konfigurieren ist und wir nur das Zertifikat erstellen möchten. "--standalone" gibt an, dass temporär ein Webserver zur Validierung der Domain gestartet werden kann und soll (dazu darf also nichts Port 80 und 443 blockieren / benutzen). Mit "-d" gibt man die Domain an, für die das Zertifikat gültig ist – jede Weitere wird dabei zu den Alternativen Namen aufgenommen und anerkannt (sofern die Validierung erfolgreich ist).

Beim Aufruf des Clients muss eine E-Mailadresse hinterlegt und den Nutzungsbedingungen zugestimmt werden. Ersteres dient der Kontaktaufnahme bei Sicherheitsproblemen und Verlängerung des Zertifikates. Der ganze Vorgang kann bis zu einer halben Stunde dauern. Danach liegen diese Dateien unter "/etc/letsencrypt/live/domain.de/":

• cert.pem: Server Zertifikat
• chain.pem: Intermediate Zertifikat
• fullchain.pem: cert.pem + chain.pem
• privkey.pem: Privater Schlüssel

Um diese Zertifikate zum Betrieb mit HTTPS zu nutzen, müssen diese im Webserver hinterlegt bzw. konfiguriert werden.

• für Apache: https://wiki.ubuntuusers.de/Apache/SSL#SSL-Webseite-konfigurieren
• für nginx: https://www.digicert.com/ssl-certificate-installation-nginx.htm

Für Apache Webserver (unter Debian-basiertem OS) bietet Let’s Encrypt sogar eine vollautomatisierte Möglichkeit, Zertifikate zu erstellen und diese gleich im Webserver zu konfigurieren.

./letsencrypt-auto --apache

SSL-Zertifikat verlängern

Bei den signierten Zertifikaten ist zu beachten, dass diese nur 90 Tage gültig sind. Gründe dafür nennt das Let’s Encrypt Projekt in einem Blog-Eintrag. Dazu zählen Sicherheitsvorteile durch kurze Laufzeiten und die allgemeine Verbreitung solcher Laufzeiten. Unzufriedenheit und hohe Aufwände möchte das Projekt mit einem hohen Grad an Automation bei der Verlängerung lösen.

Verlängern lässt sich das Zertifikat über diesen Befehl. Dabei muss auch wieder der Webserver gestoppt werden:

/opt/letsencrypt/letsencrypt-auto certonly --renew-by-default -d domain.de www.domain.de

Die regelmäßige Verlängerung kann über einen Cronjob automatisiert werden. Dabei muss allerdings sichergestellt sein, dass beim Verlängern keine Interaktion nötig ist.

SSL-Zertifikat widerrufen

Die ausgestellten Zertifikate können auch widerrufen werden.

/opt/letsencrypt/letsencrypt-auto revoke --cert-path /etc/letsencrypt/live/domain.de/fullchain.pem

Finish. :)

Neuere Themen:

Gogs. Dein eigener selbst gehosteter Git-Service.
Vor ein paar Tagen hat mich ein Kollege gefragt, wie man den Gogs Git-Service Installieren kann. Ich hab mir das angesehen und habe das auch getestet. Die Wetter Anzeige über den Kommandozeilen-Befehl.
Möchte man das aktuelle Wetter einer bestimmten Stadt oder meinen Standort vom Terminal heraus finden. Dann gibt man einfach folgenden Kommandozeilen-Befehl ein. IPv6-Adressen auf Root-Server einrichten
An dieser Stelle möchten wir Ihnen zeigen, wie Sie IPv6 auf Ihrem Root-Server einrichten. Netzwerkinterface mit 'vnstat' protokollieren
Wenn man z.B. auf einfache Art und Weise den Traffic eines Netzwerkinterfaces unter Linux messen und protokollieren möchte, so bietet das unter GPL/open Source stehende Commandline-Tool vnstat eine simple Möglichkeit.

Ältere Themen:

SSH Login mittels SSH Key und deaktiviertem Root Login
Den Login eines (Remote-) Servers via Key-Authentifizierung absichern MySQL 'root' Passwort vergessen
Wem ist es nicht schon passiert das man das Passwort von MySQL vergessen hat oder verlegt hat. Daher hier ein kurzes kleines Tutorial dazu. Linux: Swap Leeren
Wie leere ich den Swap auf meiner Linux Distribution. Überwachung für meine Festplatten unter Linux
Wie richte ich eine Überwachung für meine Festplatten unter Linux ein.

Kurz Profil über Cliff

xProg.de Gründer. Jahrgang 1986. Stolzer Familienvater. Habe Früh mit Computer und Hardware angefangen. Die ersten Self-Made Computer waren nicht die besten, funktionierten aber tadellos. Kenne noch 56k-Modems, und habe mit Windows 3.1 angefangen meine ersten Texte zu schreiben, über Windows 95, bis zu Windows 7 dann aktiv eingestiegen. Auch arbeite ich aktiv mit Linux für Homebase als auch auf der Serverebene. 

Auf die Idee Anleitungen zu schreiben kam ich, als ich zum Thema Debian was gesucht habe. Leider waren viele Anleitungen oder vorschläge veraltet und daher leider nutzlos.

Wenn meine Anleitungen auch veraltet sein sollten, dann schreibt mir das bitte und ich versuche sie zu aktualisieren.

Wer mich (finanziell) unterstützen möchte, der kann mir hier gerne etwas spenden.

Letzte Artikel von Cliff

• So Installieren Sie PHP (7.0, 7.2 oder 7.3) unter Ubuntu
  Dieses Tutorial sollte für alle Ubuntu-Versionen und andere Ubuntu-basierte Versionen funktionieren. Ubuntu 14.04, Ubuntu
• Ende 2018 mit einem gewaltigen Knall!
  Vor kurzem (10.09.2018) kam erst die Nextcloud Version 14 raus und jetzt der gewaltige Knall. Nextcloud stellte heute 10.12.2018, drei Monate später die Nextcloud Version 15 Stable online.
• Nextcloud 12.0.12, 13.0.8 und 14.0.4 Verfügbar!
  Es ist wieder soweit: Ihr Update leuchtet bald auf, Nextcloud-Updates sind da! Wie immer enthalten diese Fehlerbehebungen, keine riskanten Umschreibungen,
• E-Mail senden, wenn Festplatte fast voll ist
  E-Mail senden, wenn Festplatte fast voll ist. Da wohl nicht jeder genau weiß, wie viel freien Festplatten Speicher man noch
• Spammail über angeblichen Kauf eines Nokia Handys.
  Ich bekam eine E-Mail über einen Kauf eines neuen Nokia Handys. Dabei habe ich nichts gekauft aber über ein neues Handy würde ich mich freuen!
• Wir sind jetzt auch auf Facebook zu finden!
  Wir gehen nun den nächsten Schritt, damit Sie uns besser kennen lernen können.
• Thunderbird 60.3.0 und Firefox 63.0.1
  Kurze Information für Nutzer der oben genannten Mozilla-Produkte. Für beide Produkte haben die Mozilla-Entwickler kürzlich Sicherheits-Updates freigegeben.
• In eigener Sache: Herzlichen Dank an Nextcloud
  Heute einmal in eigener Sache. Ich möchte mich bei Nextcloud bedanken. Heute einmal in eigener Sache. Ich möchte mich bei
• Nextcloud 14 verfügbar
  Nextcloud 14 ist jetzt mit Video Verification, Signal / Telegram 2FA Support, verbesserter Zusammenarbeit und DSG-Konformität verfügbar.
• BleachBit – Open Source Alternative zu CCleaner
  CCleaner ist bzw. war früher in meinen Augen eines der Tools, welches man unbedingt auf seinem PC installiert haben sollte.
• Domains stehen zum Verkauf!
  Ich biete Ihnen eine reihe von Domains an, die ich nicht mehr benötige. Mehr Informationen in diesem Beitrag!
• Nextcloud Security Scan
  Datenschutz gibt es nicht ohne Sicherheit.
• Nextcloud Installation inkl. Collabora Online
  Dies ist eine Installations-anleitung über Nextcloud inkl. Collabora Online auf einen Server System.
• Neue Version von Nextcloud 13.0.6 Stable
  Nextcloud hat die nächste Stabile Version 13.0.6 heraus gebracht am 30. August 2018.
• Matomo neues Update 3.5.1 zu 3.6.0
  Neues Update der Matomo Analytics Software Update der Matomo Analytics Software Erscheindatum: 28.08.2018 Version: 3.6.0 Matomo neues Update 3.5.1 zu 3.6.0

zurück