Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
ssl-certs [2012/02/02 13:42] – [Linux] m4yer | ssl-certs [2016/10/28 13:12] (current) – [Zertifikate mit alternativen Namen] rellig | ||
---|---|---|---|
Line 1: | Line 1: | ||
====== Informationen über die minad.de SSL-Zertifkikate ====== | ====== Informationen über die minad.de SSL-Zertifkikate ====== | ||
- | minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. Zur Zeit verwenden wir selbstsignierte Zertifikate, | + | minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. |
- | ===== Import des CA-Zertifikats | + | ===== Zertifikat Neuantrag |
- | Um den Warnungen über das Unbekannte Zertifikat aus dem Weg zu gehen, muss man dem CA-Zertifikat vertrauen. Das macht man in dem man [[https:// | + | Neue Zertifikate müssen nur einmal beantragt werden. Dafür hat sich folgender command etabliert: |
- | ==== Linux ==== | + | <file bash - > |
+ | certbot certonly --agree-tos --renew-by-default --email root@minad.de --webroot -w / | ||
+ | </ | ||
+ | |||
+ | Hinweis: Nachdem es ein Limit von 20 renews pro Domain pro Woche gibt (domain in dem fall minad.de oder grilldienstag.de ohne jeweilige sub), bietet es sich an Domains logisch zusammenzufassen. | ||
+ | Deswegen [[ssl_cert_list|hier eine Liste unserer Zertifikate inkl. der Domains für die sie gelten]]. | ||
- | '' | + | ===== Zertifikate mit alternativen Namen ===== |
- | ==== Windows | + | Ein Zertifikat mit alternativen Namen wird ähnlich ausgestellt wie ein Zertifikat für eine Domain. Weitere Domains werden einfach Komma-getrennt an die Option //-d// angehängt. Maximal 100 Domains können |
- | - Start -> Ausführen -> " | + | |
- | - Datei -> Snap-In hinzufügen -> Hinzufügen... | + | |
- | - Zertifikate | + | |
- | - Doppelklick auf Zertifikate -> Rechtsklick auf " | + | |
- | - Das " | + | |
- | Und schon sollte das Zertifikat importiert sein. Ein Kinderspiel, quasi! | + | <file bash - > |
+ | certbot certonly --agree-tos --renew-by-default --email root@minad.de --webroot -w / | ||
+ | </ | ||
- | ===== Verwendung der Zertifikate auf dem Server ===== | + | Die erste Domain bestimmt den Pfad unter dem das Zertifikat gespeichert wird und ist gleichzeitig im Feld " |
- | * Speicherort der Zertifikate | + | Sollen nachträglich weitere alternative Namen eingefügt werden, so nimmt man die __exakt gleiche__ Liste wie beim ausstellen und fügt den neuen Namen ein. Der certbot sollte nun fragen, ob das bestehende Zertifikat erweitert werden soll. Am Besten mit // |
- | * Unterschied der Zertifikate | + | |
+ | Zum Überblick [[ssl_cert_list|hier eine Liste unserer Zertifikate inkl. der Domains für die sie gelten]]. | ||
- | ==== lighttpd | + | ===== Automatisches Verlängern ===== |
- | ==== Postfix/ | + | Das automatische renewal funktioniert über zwei Systemd-Units inkl. Timer, und ein Skript dass die Zertifikate für lighty zusammenbaut. |
+ | ==== certbot ==== | ||
+ | <file bash certbot-renew.service> | ||
+ | [Unit] | ||
+ | Description=Call certbot to renew all certificates | ||
+ | After=network.target | ||
+ | [Service] | ||
+ | User=root | ||
+ | Type=oneshot | ||
+ | ExecStart=/ | ||
+ | </ | ||
+ | <file bash certbot-renew.timer> | ||
+ | [Unit] | ||
+ | Description=Timer for the sslscript - currently daily | ||
+ | [Timer] | ||
+ | OnCalendar=Wed *-*-* 10:07:00 | ||
+ | [Install] | ||
+ | WantedBy=timer.target | ||
+ | </ | ||
+ | ==== sslscript ==== | ||
+ | Das Skript dass das für den lighty zusammenpastet und kopiert siehe [[https:// | ||
+ | <file bash sslscript.service> | ||
+ | [Unit] | ||
+ | Description=Check if there are renewed SSL-Certs and convert them for lighty | ||
+ | After=network.target | ||
+ | [Service] | ||
+ | User=root | ||
+ | Type=oneshot | ||
+ | ExecStart=/ | ||
+ | </ | ||
+ | |||
+ | <file bash sslscript.timer> | ||
+ | [Unit] | ||
+ | Description=Timer for the sslscript - currently daily | ||
+ | |||
+ | [Timer] | ||
+ | OnCalendar=Tue *-*-* 10:07:00 | ||
+ | |||
+ | [Install] | ||
+ | WantedBy=timer.target | ||
+ | </ | ||