SSL for Free!

Niemand muss mehr Geld für SSL-Zertifikate ausgeben. Die Let’s Encrypt Initative wurde im Jahr 2015 eingerichtet mit dem Ziel das Internet sicherer zu machen, indem man Daten verschlüsselt austauscht. Zitat aus Wikipedia:

Dabei ersetzt ein automatisierter Prozess die bisher gängigen komplexen händischen Vorgänge bei der Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Websites.

Es ist nicht ganz so einfach wie oben beschrieben, da es verschiedene Linuxdistributionen und Webserver gibt. Für alle Server gibt es Anleitungen im Internet (Youtube).

Für Linuxserver gibt es auf Github getssl. Es besteht aus einem Shellscript u. Dateien, die man für die verschiedenen Validierungsmethoden braucht. Es wird ein Cronjob eingerichtet der prüft ob das Zertifikat noch gültig ist und es dann automatisch erneuert.

Bei mir hat es nicht funktioniert. Erst hat der Befehl nslookup domain, der prüft ob die Domain existiert, kein Ergebnis geliefert, das heist, non-existent domain. Abbruch. Es war schon eine schräge Geschichte. Wenn ich in der Windows-Eingabeaufforderung den Befehl nslookup meine-Domain eingab kam das richtige Ergebnis? Nachdem ich von meinem Provider eine neue IP bekam u. ich den Denic-Eintrag anpassen lassen musste, hat es dann geklappt. Das Script lief dann weiter, ist dann aber an Berechtigungen gescheitert u. da ist Vorsicht geboten. Das Script hat einen debug mode. Da ich nicht viel Zeit hatte, habe ich dann weiter recherchiert und SSLFORFREE gefunden. (aber ich bleib dran)

SSLforfree holt sich die Zertifikate von Let’s Encrypt mit dem Unterschied dass sie nur 3 Monate gelten u. dann händisch erneuert werden müssen. Da man ein Konto erstellen muss, wird man rechtzeitig erinnert das Zertifikat zu erneuern.

Anleitung für SuSe Leap 15.x u. apache 2.4x :

www.sslforfree.com in browser aufrufen. Domainnamen eingeben.

www.domain wird automatisch eingefügt. Create-button anklicken!

Manual Verification anklicken. (Automatic FTP Verification funktioniert nicht immer. ) Nochmal grünen Manual Verification Button anklicken.

Es erscheinen 2 grüne Downloadlinks. Vorher im Rootverzeichnis des Webservers ein Verzeichnis .well-known/acme-challenge erstellen.

Die 2 Dateien herunterladen u. ins Webverzeichnis/.well-known/acme-challenge/ hochladen. Dateiberechtigungen ändern.

chown -R wwwrun:www .well-known. Danach ins Verzeichnis acme-challenge wechseln u. die Berechtigungen der 2 Dateien ändern.

chmod 664 datei1, chmod 664 datei2

Danach die 2 Links zur Verifikation anklicken ! die Dateien müssen im Browser angezeigt werden. Wenn eine Fehlermeldung kommt erst mal ins apache-error-log sehen. Fehler in /etc/apache2/ suchen. Bei mir kam immer Zugriff verweigert obwohl alles richtig war. Im error-log fand ich dann den Fehler. Es gab einen alias Eintrag /var/lib/.well-known dieser kam von apache2/conf.d/ acme-challenge.conf. Habe die Datei umbenannt, danach hat es funktioniert. Wenn alles klappt Download SSL Certificate klicken.

Auf der Seite, die erscheint, kann man die Zertifikate als Zip herunterladen oder Editor öffnen u. dann copy and paste.

Es werden 3 Zertifikate angezeigt. Im Editor neue Datei anlegen. Das 1. Zertifikat kopieren u. in Editor einfügen. Das 2. Zertifikat kopieren u. unterhalb des 1. einfügen. Danach als domainname.pem speichern. Eine neue Datei öffnen, das private Zertifikat kopieren und einfügen u. als domainname-private.pem speichern. Die Dateinamen sind frei wählbar nur die Endung muss pem sein.

domainname.pem ins Verzeichnis /etc/apache2/ssl-crt/ kopieren dann domainname-private.pem ins Verzeichnis /etc/apache2/ssl-key/ kopieren.

Jetzt müssen nur noch /etc/apache2/ssl-global.conf u. /etc/apache2/vhosts.d/domainname.conf angepasst werden. Einfach Pfade zu den Zertifikaten ändern.

Mit systemctl restart apache2 Apache neu starten.

Viel Spass

Einen Kommentar hinterlassen

This website is using cookies to improve the user-friendliness. You agree by using the website further. Privacy policy