Benutzer-Werkzeuge

Webseiten-Werkzeuge


webdev:apache:lets-encrypt

Lets Encrypt Notizen

Certbot Installieren im Manual Mode

git clone https://github.com/certbot/certbot

Certbot benötigt für die Abwicklung im „Standalone Mode“ Port 80. Certbot startet dafür einen kleinen Webserver - daher muss Apache, sofern auf Port 80 lauscht abgeschaltet werden.

service apache2 stop

Zertifikate abholen

(und sonst nichts tun):

./certbot-auto certonly --standalone --rsa-key-size 4096 -d example.com -d www.example.com 

Die Zertifikate werden via Symlink unter /etc/letsencrypt/live/<example.com> abgelegt und können in die betreffende Hostkonfiguration von Apache eingetragen werden. Der Symlink führt übrigens zu /etc/letsencrypt/archive/, wo auch die älteren abgelegt sind.

Zertifikate erneuern

Die Zertifikate sind 3 Monate (90 Tage) gültig. Die Erneuerung wird wie oben beschrieben durchgeführt.

Weitere Schritte

Um seine Zertifikate nebst Konfiguration zu testen und evtl. weitere Schritte zu planen, empfiehlt sich ein Scan mit https://www.ssllabs.com/ssltest/ . Auch Mozilla bietet mit Observatory eine Hilfe an, um die Konfiguration zu verfeinern/verbessern. Daneben gibts auch den Mozilla SSL Config Generator, der für weitere Hilfestellung bei der Konfiguration dienlich sein kann.

HSTS

https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security

HSTS per mod_headers setzen:

# Prüfen, ob mod_headers aktiviert ist
 
$ a2query -m headers
 
# wenn aktiv, erscheint beispielsweise folgendes:
 
headers (enabled by site administrator)
 
# Wenn nicht, aktiviert man es:
 
$ a2enmod headers

Danach kann die Vhost Konfiguration um folgendes erweitert werden:

# ...
# hsts
Header always set Strict-Transport-Security "max-age=31536000"
# ..

Zu Testzwecken möchte man vielleicht max-age niedriger angeben. Danach wird der Apache neugestartet. Überprüfen kann man nun den Response Header zb mit curl:

$ curl --head https://example.com/
 
HTTP/1.1 200 OK
Date: Mon, 26 Sep 2015 12:22:37 GMT
Server: Apache
..
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
..
Strict-Transport-Security: max-age=31536000
..

oder den Entwicklungstools von Chrome, Firefox, etc.

Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
webdev/apache/lets-encrypt.txt · Zuletzt geändert: 2016/09/26 18:08 von haiko

hello, world