ssl-certs

This is an old revision of the document!


Informationen über die minad.de SSL-Zertifkikate

minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. <del>Zur Zeit verwenden wir selbstsignierte Zertifikate, d.h wir haben eine eigene CA, die die minad.de Zertifikate bestätigt.</del> Wie jeder vernünftige Mensch verwendet minad jetzt [[https://letsencrypt.org/|Let's Encrypt]].

Neue Zertifikate müssen nur einmal beantragt werden. Dafür hat sich folgender command etabliert:

-
certbot certonly --agree-tos --renew-by-default --email root@minad.de --webroot -w /var/www/letsencrypt -d brot.minad.de

Hinweis: Nachdem es ein Limit von 20 renews pro Domain pro Woche gibt (domain in dem fall minad.de oder grilldienstag.de ohne jeweilige sub), bietet es sich an Domains logisch zusammenzufassen.

Deswegen [[ssl_cert_list|hier eine Liste unserer Zertifikate inkl. der Domains für die sie gelten]].

Das automatische renewal funktioniert über zwei Systemd-Units inkl. Timer, und ein Skript dass die Zertifikate für lighty zusammenbaut.

certbot-renew.service
[Unit]
Description=Call certbot to renew all certificates
After=network.target
 
[Service]
User=root
Type=oneshot
ExecStart=/usr/bin/certbot renew
certbot-renew.timer
[Unit]
Description=Timer for the sslscript - currently daily
 
[Timer]
OnCalendar=Wed *-*-* 10:07:00
 
[Install]
WantedBy=timer.target

Das Skript dass das für den lighty zusammenpastet und kopiert siehe [[https://gitlab.minad.de/brot/sslscript|das sslscript Gitlab repo]].

sslscript.service
[Unit]
Description=Check if there are renewed SSL-Certs and convert them for lighty
After=network.target
 
[Service]
User=root
Type=oneshot
ExecStart=/root/sslscript/sslscript.sh
sslscript.timer
[Unit]
Description=Timer for the sslscript - currently daily
 
[Timer]
OnCalendar=Tue *-*-* 10:07:00
 
[Install]
WantedBy=timer.target
  • ssl-certs.1477659387.txt.gz
  • Last modified: 2016/10/28 12:56
  • by rellig