ssl-certs

This is an old revision of the document!


Informationen über die minad.de SSL-Zertifkikate

minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. Zur Zeit verwenden wir selbstsignierte Zertifikate, d.h wir haben eine eigene CA, die die minad.de Zertifikate bestätigt. Wie jeder vernünftige Mensch verwendet minad jetzt Let's Encrypt.

Neue Zertifikate müssen nur einmal beantragt werden. Dafür hat sich

certbot certonly --agree-tos --renew-by-default --email brot@minad.de --webroot -w /var/www/letsencrypt -d brot.minad.de  

etabliert.

Das automatische renewal funktioniert über zwei Systemd-Units inkl. Timer, und ein Skript dass die Zertifikate für lighty zusammenbaut.

certbot-renew.service
[Unit]
Description=Call certbot to renew all certificates
After=network.target
 
[Service]
User=root
Type=oneshot
ExecStart=/usr/bin/certbot renew
certbot-renew.timer
[Unit]
Description=Timer for the sslscript - currently daily
 
[Timer]
OnCalendar=Wed *-*-* 10:07:00
 
[Install]
WantedBy=timer.target

Das Skript dass das für den lighty zusammenpastet und kopiert siehe das sslscript Gitlab repo.

sslscript.service
[Unit]
Description=Check if there are renewed SSL-Certs and convert them for lighty
After=network.target
 
[Service]
User=root
Type=oneshot
ExecStart=/root/sslscript/sslscript.sh
sslscript.timer
[Unit]
Description=Timer for the sslscript - currently daily
 
[Timer]
OnCalendar=Tue *-*-* 10:07:00
 
[Install]
WantedBy=timer.target
  • ssl-certs.1477657630.txt.gz
  • Last modified: 2016/10/28 12:27
  • by brot