Let's Encrypt revolutioniert mit kostenlosen Zertifikaten.
Mit Let’s Encrypt lassen sich nun seit gut über einem Jahr kostenlose Zertifikate für jederman erstellen. Seit 3. Dezember 2015 befindet sich das Projekt in einer Public Beta Phase und ist bereits die fünftgrößte CA weltweit. Das Projekt hat sich zur Aufgabe gesetzt, verschlüsselte HTTPS-Verbindungen im Internet zum Standard zu machen. Bereits jetzt werden von Let’s Encrypt signierte Zertifikate in allen modernen, gängigen Browsern und Betriebssystemen akzeptiert.
Es gibt verschiedene Möglichkeiten Let's Encrypt zu nutzen. Wie das bereits in einer kurzform funktioniert habe ich bereits in der folgenden Installationsanleitung (Collabora Online Server mit Nextcloud auf Ubuntu 16.04 TLS, Installationsanleitung) beschrieben. Viele wege führen schließlich nach Rom.
Wie man SSL-Zertifikate von Let's Encrypt automatisch erstellt, erkläre ich euch jetzt.
Zum Signieren von Zertifikaten mit Let’s Encrypt gibt es mehrere Möglichkeiten. So bietet Let’s Encrypt selbst einen eigenen Client bzw. eigenes ACME. Daneben gibt es aber noch andere Clients / ACME zum Signieren der Zertifikate. Im Folgenden wird ein Zertifikat automatisiert mit dem offiziellen Let’s Encrypt ACME erstellt und signiert. Leider lädt das Tool einiges an Paketen nach und erfordert root-Rechte. Zudem muss der eigene Webserver für die Zeit des Erstellens heruntergefahren werden. Denn nur unter dieser Voraussetzung kann der Client einen eigenen kleinen Webserver starten und die Domaininhaberschaft validieren.
Zur offiziellen Kurzanleitung. Eine ausführliche Anleitung ist auf readthedocs.org zu finden.
Voraussetzung für die Installation ist Git. Git und der Let’s Encrypt ACME Client können so heruntergeladen und vollständig installiert werden:
sudo apt-get install git cd /opt sudo git clone https://github.com/certbot/certbot cd certbot ./letsencrypt-auto --help
Bei der automatisierten Erstellung von signierten Zertifikaten muss zudem der Webserver gestoppt werden.
Apache2:
sudo /etc/init.d/apache2 stop
Nginx:
sudo /etc/init.d/nginx stop
Nun kann das Zertifikat automatisiert erstellt werden.
./letsencrypt-auto certonly --standalone -d domain.de -d www.domain.de
Dabei gibt "certonly" an, dass kein Webserver zu konfigurieren ist und wir nur das Zertifikat erstellen möchten. "--standalone" gibt an, dass temporär ein Webserver zur Validierung der Domain gestartet werden kann und soll (dazu darf also nichts Port 80 und 443 blockieren / benutzen). Mit "-d" gibt man die Domain an, für die das Zertifikat gültig ist – jede Weitere wird dabei zu den Alternativen Namen aufgenommen und anerkannt (sofern die Validierung erfolgreich ist).
Beim Aufruf des Clients muss eine E-Mailadresse hinterlegt und den Nutzungsbedingungen zugestimmt werden. Ersteres dient der Kontaktaufnahme bei Sicherheitsproblemen und Verlängerung des Zertifikates. Der ganze Vorgang kann bis zu einer halben Stunde dauern. Danach liegen diese Dateien unter "/etc/letsencrypt/live/domain.de/":
- cert.pem: Server Zertifikat
- chain.pem: Intermediate Zertifikat
- fullchain.pem: cert.pem + chain.pem
- privkey.pem: Privater Schlüssel
Um diese Zertifikate zum Betrieb mit HTTPS zu nutzen, müssen diese im Webserver hinterlegt bzw. konfiguriert werden.
- für Apache: https://wiki.ubuntuusers.de/Apache/SSL#SSL-Webseite-konfigurieren
- für nginx: https://www.digicert.com/ssl-certificate-installation-nginx.htm
Für Apache Webserver (unter Debian-basiertem OS) bietet Let’s Encrypt sogar eine vollautomatisierte Möglichkeit, Zertifikate zu erstellen und diese gleich im Webserver zu konfigurieren.
./letsencrypt-auto --apache
SSL-Zertifikat verlängern
Bei den signierten Zertifikaten ist zu beachten, dass diese nur 90 Tage gültig sind. Gründe dafür nennt das Let’s Encrypt Projekt in einem Blog-Eintrag. Dazu zählen Sicherheitsvorteile durch kurze Laufzeiten und die allgemeine Verbreitung solcher Laufzeiten. Unzufriedenheit und hohe Aufwände möchte das Projekt mit einem hohen Grad an Automation bei der Verlängerung lösen.
Verlängern lässt sich das Zertifikat über diesen Befehl. Dabei muss auch wieder der Webserver gestoppt werden:
/opt/letsencrypt/letsencrypt-auto certonly --renew-by-default -d domain.de www.domain.de
Die regelmäßige Verlängerung kann über einen Cronjob automatisiert werden. Dabei muss allerdings sichergestellt sein, dass beim Verlängern keine Interaktion nötig ist.
SSL-Zertifikat widerrufen
Die ausgestellten Zertifikate können auch widerrufen werden.
/opt/letsencrypt/letsencrypt-auto revoke --cert-path /etc/letsencrypt/live/domain.de/fullchain.pem
Finish. :)
Tag: Zertifikate, Certbot, SSLNeuere Themen:
Vor ein paar Tagen hat mich ein Kollege gefragt, wie man den Gogs Git-Service Installieren kann. Ich hab mir das angesehen und habe das auch getestet.
Möchte man das aktuelle Wetter einer bestimmten Stadt oder meinen Standort vom Terminal heraus finden. Dann gibt man einfach folgenden Kommandozeilen-Befehl ein.
An dieser Stelle möchten wir Ihnen zeigen, wie Sie IPv6 auf Ihrem Root-Server einrichten.
Wenn man z.B. auf einfache Art und Weise den Traffic eines Netzwerkinterfaces unter Linux messen und protokollieren möchte, so bietet das unter GPL/open Source stehende Commandline-Tool vnstat eine simple Möglichkeit.
Ältere Themen:
Den Login eines (Remote-) Servers via Key-Authentifizierung absichern

Wem ist es nicht schon passiert das man das Passwort von MySQL vergessen hat oder verlegt hat. Daher hier ein kurzes kleines Tutorial dazu.

Linux - Systemauslastung analysieren - Arbeitsspeicher-Nutzung und CPU-Last auswerten, Schwachstellen finden
Wie leere ich den Swap auf meiner Linux Distribution.
Kurz Profil über Cliff
xProg.de Gründer. Jahrgang 1986. Stolzer Familienvater. Habe Früh mit Computer und Hardware angefangen. Die ersten Self-Made Computer waren nicht die besten, funktionierten aber tadellos. Kenne noch 56k-Modems, und habe mit Windows 3.1 angefangen meine ersten Texte zu schreiben, über Windows 95, bis zu Windows 7 dann aktiv eingestiegen. Auch arbeite ich aktiv mit Linux für Homebase als auch auf der Serverebene.
Auf die Idee Anleitungen zu schreiben kam ich, als ich zum Thema Debian was gesucht habe. Leider waren viele Anleitungen oder vorschläge veraltet und daher leider nutzlos.
Wenn meine Anleitungen auch veraltet sein sollten, dann schreibt mir das bitte und ich versuche sie zu aktualisieren.
Wer mich (finanziell) unterstützen möchte, der kann mir hier gerne etwas spenden.
Webseite: | https://www.chatmaske.de/ - https://www.mailda.de/ |
Facebook: | https://www.facebook.com/cain.j.dawson |
Twitter: | https://twitter.com/CainDawsonDE |
Letzte Artikel von Cliff
- xProg.de - Wir wünschen allen einen Guten Rutsch
xProg.de wünscht allen Besuchern unserer Internet-Seite einen Guten Rutsch (inkl. ein Rückblick aller Beiträge in diesen Jahr!) - Wir verfügen nun über einen RSS-Feed
Lange wurde es gewünscht. Ein RSS-Feed zu unseren Artikel im Blog. - So installieren Sie MySQL/MariaDB unter Ubuntu
Der zweite Teil unserer LAMP-Lernprogrammreihe: So installieren Sie MySQL (oder MariaDB) auf einem Ubuntu-Server. - Installieren und Optimieren von Apache unter Ubuntu
Dies ist der Beginn unserer LAMP-Lernprogrammreihe: Wie wird der Apache-Webserver unter Ubuntu installiert? - Desktop-Umgebung Debian nachträglich installieren – grafische Oberfläche
So installiert man bei Debian Desktop-Umgebung Debian nachträglich installieren - grafische Oberfläche So installiert man - PASSWORD-Wert mit MySQL-Abfragen erzeugen
Haben Sie schon irgendwann von einem Hostinganbieter zu anderem umgestiegen? Hier sollte man nicht nur PHP-Features berücksichtigen, - T-Shirt mit Nextcloud Logo (Geschenk)
Heute zum 24.12.2018 bekam ich zur Bescherung ein schon lang ersehntes Geschenk. - Frohe Weihnachten und ein gesundes neues Jahr!
Wir von xProg.de wünschen allen Besuchern Frohe Weihnachten und ein gesundes neues Jahr! - So Installieren Sie PHP (7.0, 7.2 oder 7.3) unter Ubuntu
Dieses Tutorial sollte für alle Ubuntu-Versionen und andere Ubuntu-basierte Versionen funktionieren. Ubuntu 14.04, Ubuntu - Ende 2018 mit einem gewaltigen Knall!
Vor kurzem (10.09.2018) kam erst die Nextcloud Version 14 raus und jetzt der gewaltige Knall. Nextcloud stellte heute 10.12.2018, drei Monate später die Nextcloud Version 15 Stable online.
Unsere Themen im Blog
RSS-Feed
Abonnieren Sie unsere Artikel.