- \n
- Um Missbrauch zu vermeiden, gibt es strikte Limits<\/a>, wie viele Zertifikate f\u00fcr eine Domain in einer bestimmten Zeit erzeugt werden d\u00fcrfen.
\nDaher sollte das Kommando certbot f\u00fcr erste Tests mit der Option –staging (ehemals –test-cert) verwendet werden. Die –staging Option erstellt Zertifikate von einem Test-System. Nachdem die Konfiguration \u00fcberpr\u00fcft und sichergestellt ist, dass alles funktioniert, kann cerbot ohne die –staging Option zur Erstellung der richtigen Zertifikate aufgerufen werden.<\/li>\n<\/ul>\n
\nSSL Module des Apache Webserver aktivieren<\/h2>\n
Als Basis wird eine Debian 11 Installation mit einem Apache Webserver verwendet. Die Aktivierung der SSL Standardkonfiguration erfolgt folgenderma\u00dfen :<\/p>\n
sudo a2enmod ssl\r\nsudo a2ensite default-ssl.conf<\/pre>\n
\nCertbot installieren<\/h2>\n
Certbot ist in den offiziellen Repositories enthalten und kann daher wie gewohnt einfach mit folgendem Befehl installiert werden:<\/p>\n
sudo apt-get install certbot python3-certbot-apache<\/pre>\n
Alternativ kann die Installation aus dem Cerbot Repository erfolgen :<\/p>\n
add-apt-repository ppa:certbot\/certbot\r\napt update\r\napt install python-certbot-apache<\/pre>\n
\nLet\u2019s-Encrypt-Zertifikate f\u00fcr Apache installieren<\/h2>\n
Um Let\u2019s-Encrypt-Zertifikate anzufordern und f\u00fcr den Webserver Apache zu installieren, f\u00fchren Sie das folgende Kommando aus. Dabei ersetzen Sie meine-domain.de durch Ihren Domainnamen. Die Zertifikate f\u00fcr smtp.* und imap.* sollen sp\u00e4ter zur sicheren Konfiguration des Mail-Servers verwendet werden. Wenn Sie nicht vorhaben, einen Mail-Server einzurichten, lassen Sie diese beiden Hostnamen weg. Nicht verzichten sollten Sie hingegen auf die www-Variante, selbst wenn Sie http:\/\/domainname gegen\u00fcber http:\/\/www.domainname vorziehen. Das www-Subdomain-Zertifikat ist erforderlich, damit HTTPS-Rewrite-Regeln von www.domainname auf domainname funktionieren.<\/p>\n
Erst wenn Sie sicher sind, dass alles klappt, entfernen Sie zuletzt die Option –staging und wiederholen das Kommando nochmals zur Installation der endg\u00fcltigen Zertifikate.<\/p>\n
certbot --apache -d www.meine-domain.de \\\r\n-d imap.meine-domain.de \\\r\n-d smtp.meine-domain.de<\/pre>\n
Das Kommando certbot fordert Sie auf, einen E-Mail-Namen anzugeben. \u00dcber diese E-Mail werden Sie verst\u00e4ndigt, wenn Ihre Zertifikate ablaufen. Wenn certbot in der Apache-Konfiguration keine Datei mit ServerName-Einstellungen findet, die mit den von Ihnen angegebenen Hostnamen \u00fcbereinstimmen, m\u00fcssen Sie in einem weiteren Dialog ausw\u00e4hlen, in welche Apache-Konfigurationsdatei die SSL-Konfiguration eingetragen wird. Au\u00dferdem k\u00f6nnen Sie entscheiden, ob Ihre Webseite auch via HTTP zug\u00e4nglich sein soll, oder ob HTTPS das einzig erlaubte Protokoll ist. certbot f\u00fcgt dann auch entsprechende Umleitungsanweisungen in Ihre Apache-Konfiguration ein.<\/p>\n
Certbot fordert nun beim Let\u2019s-Encrypt-Projekt die f\u00fcr Sie generierten Zertifikate an, l\u00e4dt diese herunter, installiert alle erforderlichen Dateien in das Verzeichnis \/etc\/letsencrypt, aktualisiert die Apache-Konfiguration und startet Apache schlie\u00dflich neu.<\/p>\n
Die Let\u2019s-Encrypt-Zertifikate sind grunds\u00e4tzlich universell verwendbar. Da es aber \u00fcblich ist, den SMTP-Server \u00fcber den Hostnamen smtp.meine-domain.de und den IMAP-Server \u00fcber imap.meine-domain.de anzusprechen, m\u00fcssen Sie auch f\u00fcr diese beiden Hostnamen Zertifikate anfordern.<\/p>\n
\nAutomatische Erneuerung der Let\u2019s-Encrypt Zertifikate<\/h2>\n
Mit der Installation von Certbot wird automatisch ein Cronjob angelegt, der zweimal t\u00e4glich die Zertifikate mit dem Certbotserver abgleicht. Dies kann mit folgendem Befehl \u00fcberpr\u00fcft werden:<\/p>\n
sudo systemctl status certbot.timer<\/pre>\n
Falls kein Cronjob angelegt wurde ( Debian 9 ) kann der Abgleich auch mit einem manuell erstellen Cronjob automatisiert werden:<\/p>\n
30 17 4 *\/3 0 certbot renew >\/dev\/null 2>&1<\/pre>\n
* der o.g. Cronjob wird um 17:30 am 4ten jeden 3ten Monat ausgef\u00fchrt.<\/p>\n
Der certbot renew Befehl \u00fcberpr\u00fcft selbst\u00e4ndig, ob eine Zertifikatserneuerung notwendig ist. Daher kann o.g. Cronjob auch t\u00e4glich oder st\u00fcndlich ausgef\u00fchrt werden um Serverausfallzeiten so gering wie m\u00f6glich zu halten (falls das erstellte Zertifikat vor dem Cronjob zur Erneuerung ablaufen sollte).<\/p>\n
\nUmleitung von HTTP zu HTTPS erzwingen<\/h2>\n
Um jegliche Serveranfragen von http zu https umzuleiten wird in der Datei \/etc\/apache2\/apache2.conf folgender Eintrag hinzugef\u00fcgt:<\/p>\n
<VirtualHost *:80>\r\n Redirect permanent \/ https:\/\/SERVER_NAME\/\r\n<\/VirtualHost>\r\n<\/pre>\n
\nFehlerquellen<\/h2>\n
- \n
DNS problem: NXDOMAIN looking up A for speefak.spdns.de- check that a DNS record exists for this\/<\/code>
\nDNS problem: NXDOMAIN looking up AAAA for speefak.spdns.de- check that a DNS record exists for this\/<\/code><\/code>
\n=> Falscher oder fehlender Eintrag des DDNS Anbieters f\u00fcr IPv4 (A) oder IPv6 (AAAA)
\n![\"\"](\"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-content\/uploads\/2019\/07\/blank_pixel.png\")
<\/li>\n...<\/code><\/li>\n<\/ul>\n
\n![\"CC_BY_NC_SA\"](\"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-content\/uploads\/2014\/08\/CC_BY_NC_SA.png\")
by Speefak | www.sebae.net<\/a><\/span> | www.karl-deutsch.at<\/a> | kofler.info<\/a> | https:\/\/legacy.thomas-leister.de<\/a> | <\/span><\/span>www.mva.ch<\/span><\/a><\/p>\n<\/p>\n","protected":false},"excerpt":{"rendered":"
Das Projekt Let\u2019s Encrypt bietet kostenlose Zertifikate an, die von den meisten g\u00e4ngigen Webbrowsern akzeptiert werden, ohne manuell eine Ausnahme f\u00fcr die Verwendung des Zertifikats (wie bei selbst erstellen Zertifikaten) best\u00e4tigen zu m\u00fcssen. Let\u2019s Encrypt stellt lediglich die Zertifikats-Infrastruktur zur Verf\u00fcgung. Um die Entwicklung des offiziellen Let\u2019s-Encrypt-Client k\u00fcmmert sich die Electronic Frontier Foundation (EFF) um […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,40,43],"tags":[],"class_list":["post-4319","post","type-post","status-publish","format-standard","hentry","category-anleitungen","category-server","category-sicherheit"],"rttpg_featured_image_url":null,"rttpg_author":{"display_name":"speefak","author_link":"https:\/\/speefak.spdns.de\/oss_lifestyle\/author\/speefak_oss\/"},"rttpg_comment":0,"rttpg_category":"Anleitungen<\/a> Server<\/a> Sicherheit<\/a>","rttpg_excerpt":"Das Projekt Let\u2019s Encrypt bietet kostenlose Zertifikate an, die von den meisten g\u00e4ngigen Webbrowsern akzeptiert werden, ohne manuell eine Ausnahme f\u00fcr die Verwendung des Zertifikats (wie bei selbst erstellen Zertifikaten) best\u00e4tigen zu m\u00fcssen. Let\u2019s Encrypt stellt lediglich die Zertifikats-Infrastruktur zur Verf\u00fcgung. Um die Entwicklung des offiziellen Let\u2019s-Encrypt-Client k\u00fcmmert sich die Electronic Frontier Foundation (EFF) um…","_links":{"self":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/posts\/4319","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/comments?post=4319"}],"version-history":[{"count":0,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/posts\/4319\/revisions"}],"wp:attachment":[{"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/media?parent=4319"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/categories?post=4319"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/speefak.spdns.de\/oss_lifestyle\/wp-json\/wp\/v2\/tags?post=4319"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}