Au-Ja! - Anleitung: Let's Encrypt Zertifikate manuell bereitstellen - 2/2
Werbung
Beim Vorbestellen sparen: Prime-Rabatt auf Videospiele


Anleitung: Let's Encrypt Zertifikate manuell bereitstellen ‐ Seite 2/2

veröffentlicht von doelf am 01.06.2020 - UPDATE: 21.08.2020

Schritt für Schritt zum Let's-Encrypt-Zertifikat im Manual Mode

Genau hier setzt unsere Anleitung an, denn wir erklären das Verfahren Schritt für Schritt: Von der Installation der benötigten Software, über deren Aufruf bis zur Domain-Validierung und den Zugriff auf die heiß ersehnten Zertifikatdateien.

  1. Man benötigt einen PC mit installiertem Linux, sei es als primäres Betriebssystem oder über das Windows Subsystem for Linux (WSL). Wir gehen hier von einer Debian-basierten Distribution (z.B. Ubuntu, Mint, Antix) aus.
  2. Auf diesem PC muss Git, eine freie Software zur verteilten Versionsverwaltung von Dateien, installiert sein. Ist dies noch nicht der Fall, öffnen wir ein Terminal-Fenster und holen das nach:
    sudo apt install git-all
  3. Vom GitHub holen wir uns dann die Software von Let's Encrypt:
    git clone https://github.com/letsencrypt/letsencrypt.git
  4. Mit dem folgenden Aufruf holt man sich das Zertifikat:
    ./letsencrypt-auto certonly -a manual --rsa-key-size 4096 -m email@kontakt -d domain.1 -d www.domain.1 -d domain.2 -d www.domain.2

    Erklärungen:
    • certonly -a manual: Wir wollen nur das Zertifikat holen und alles andere händisch erledigen.
    • --rsa-key-size 4096: Optionale Angabe für einen längeren und damit sichereren Schlüssel.
    • -m email@kontakt: Eure Kontaktadresse, an diese gehen Erinnerungen hinsichtlich des Ablaufdatums sowie Warnungen.
    • -d domain.1: Jede Domain und Subdomain wird einzeln mit dem Parameter -d übergeben - und auch www ist eine eigene Subdomain.
  5. Als Antwort erhält man für jede Domain und Subdomain einen Dateinamen nebst Inhalt. Hieraus erstellt man Textdateien, welche man in einen vorgegebenen Pfad (/.well-known/acme-challenge) auf den Webserver lädt, um seine Kontrolle über die jeweilige Domain zu belegen. Wenn man alle Textdateien hochgeladen hat, veranlasst man deren Prüfung.
  6. Verläuft die Prüfung erfolgreich, werden vier Dateien - cert.pem, chain.pem, fullchain.pem und privkey.pem - erstellt und im Ordner /etc/letsencrypt/archive/ abgelegt. Im Normalfall verwendet man fullchain.pem als Zertifikat, chain.pem ist für Nginx ab Version 1.3.7 gedacht und von cert.pem sollte man die Finger lassen. Bei privkey.pem handelt es sich um den privaten Schlüssel, welchen man sicher aufbewahren sollte.
  7. Eigentlich könnte man diese Dateien jetzt im Webpaket einbinden, doch auf den Ordner, in dem sie liegen, hat man als gemeiner Nutzer kein Zugriffsrecht - im Normalfall werden diese Dateien ja auf dem Server erzeugt und müssen daher vor neugierigen Augen geschützt werden. Als Root kommt man heran, aber wenn ein Upload per Browser notwendig sein sollte, muss man den Zugriff temporär auf alle Nutzer (Other) erweitern. Wir empfehlen folgendes Vorgehen:

    • Einen Dateimanager als Root öffnen und die benötigten Dateien aus /etc/letsencrypt/archive/ in einen neuen Ordner, nennen wir diesen tempCP, kopieren.
    • Für den Upload allen Nutzern Leserechte für die Kopien gewähren, wahlweise über den Dateimanager oder per Befehlszeile mit sudo chmod -R o+r tempCP/.
    • KRITISCH: Nach dem Upload müssen die Kopien unverzüglich gelöscht werden! Nutzt man hierfür einen Dateimanager, sollte man im Anschluss auch den Mülleimer leeren. Das Löschen per Befehlszeile bewerkstelligt man mit sudo rm -rf tempCP (sofern der Ordner tempCP heißt).

WICHTIG: Da die Software von Let's Encrypt bei der Beantragung von Folgezertifikaten die Altlasten prüft, sollte man die vier Dateien nicht löschen oder verschieben!

Fazit

Ich hoffe, dass diese Anleitung dem einen oder anderen weiterhelfen wird. Und falls sich jemand erkenntlich zeigen will und sich darüber freut, dass dieses Angebot fast gänzlich ohne Werbung auskommt, freuen wir uns über jegliche Unterstützung.


Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]