This is an old revision of the document!
Informationen über die minad.de SSL-Zertifkikate
minad.de hat - wie jeder ordentliche Server SSL-Zertifikate um SSL-Gesicherten Datenaustausch zu ermöglichen. Zur Zeit verwenden wir selbstsignierte Zertifikate, d.h wir haben eine eigene CA, die die minad.de Zertifikate bestätigt. Wie jeder vernünftige Mensch verwendet minad jetzt Let's Encrypt.
Zertifikat Neuantrag
Neue Zertifikate müssen nur einmal beantragt werden. Dafür hat sich folgender command etabliert:
- -
certbot certonly --agree-tos --renew-by-default --email root@minad.de --webroot -w /var/www/letsencrypt -d brot.minad.de
Hinweis: Nachdem es ein Limit von 20 renews pro Domain pro Woche gibt (domain in dem fall minad.de oder grilldienstag.de ohne jeweilige sub), bietet es sich an Domains logisch zusammenzufassen.
Deswegen hier eine Liste unserer Zertifikate inkl. der Domains für die sie gelten.
Automatisches Verlängern
Das automatische renewal funktioniert über zwei Systemd-Units inkl. Timer, und ein Skript dass die Zertifikate für lighty zusammenbaut.
certbot
- certbot-renew.service
[Unit] Description=Call certbot to renew all certificates After=network.target [Service] User=root Type=oneshot ExecStart=/usr/bin/certbot renew
- certbot-renew.timer
[Unit] Description=Timer for the sslscript - currently daily [Timer] OnCalendar=Wed *-*-* 10:07:00 [Install] WantedBy=timer.target
sslscript
Das Skript dass das für den lighty zusammenpastet und kopiert siehe das sslscript Gitlab repo.
- sslscript.service
[Unit] Description=Check if there are renewed SSL-Certs and convert them for lighty After=network.target [Service] User=root Type=oneshot ExecStart=/root/sslscript/sslscript.sh
- sslscript.timer
[Unit] Description=Timer for the sslscript - currently daily [Timer] OnCalendar=Tue *-*-* 10:07:00 [Install] WantedBy=timer.target