SSL-Zertifikate mit lets encrypt

Wer einen eigenen (kleinen) Webhosting-Server sein Eigen nennt, möchte die Webseite darauf eventuell mit einem SSL-Zertifikat verschlüsseln. Heutzutage muss man dafür, zum Glück und vielen Dank dafür, nicht mehr so tief in die Tasche greifen. Genau gesagt, gibt es das mittlerweile kostenlos und es nennt sich: „Let’s encrypt“.

Dazu muss man sich erstmal den „certbot“ auf sein System holen. Ist keine große Sache und mittlerweile findet man dazu auch viele gute Anleitungen. Daher gehe ich hier darauf nicht weiter ein. Bei Problemen, legt der „certbot“ auch ein Logfile namens „certbot.log“ an, welches über mögliche Probleme aufschluss geben kann.

Um nun ein SSL-Zertifikat anzulegen, kann man sich ein Script „basteln“, welches das Zertifikat für eine oder mehrere Domains (automatisch) anlegen kann. Beispiel dazu:

service apache2 stop
certbot certonly --standalone --rsa-key-size 4096 \
-d www.domain-xyz.tld \
-d domain-xyz.tld \
-d mx.domain-xyz.tld \
-d imap.domain-xyz.tld \
-d smtp.domain-xyz.tld
service apache2 restart

Wer das automatisieren möchte, muss hier halt Variablen einfügen und die dynamisch ersetzen. Ansonsten kann man das so auch einfach in die Konsole tippen.

Zertifikate kann (und sollte) man widerrufen (revoke), wenn man diese nicht mehr benötigt oder ein Sicherheitsproblem bestehen sollte. Beispiel dazu:

service apache2 stop
certbot revoke --cert-path /etc/letsencrypt/live/mx.domain-xyz.tld/fullchain.pem
certbot delete -d www.domain-xyz.tld
service apache2 restart

Zusätzlich muss man das Zertifikat alle 93 Tage aktualisieren. Man bekommt auch reichtzeitig vorher eine E-Mail, die einen daran erinnert. Beispiel dazu:

service apache2 stop
certbot renew
service apache2 restart

Mit dem Parameter „–dry-run“ kann man auch erstmal einen Testlauf vornehmen und schauen, was passieren würde, wenn man den Befehl ausführen würde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.