3
Auf Lets Encrypt wechseln
Hallo,
nach dem Theater was aktuell bei StartCom herrscht welches ich aktuell als Zertifikats Anbieter nutzte hab ich mich kurzerhand entschlossen auf Let's Encrypt zu wechseln.
Realistisch gesehen ist dieser Schritt zum aktuellen Zeitpunkt zwar noch nicht notwendig da bestehende Zertifikate noch gültig bleiben, aber man hat ja nicht's besseres zu tun.
Und nach Anfrage von @certifiedit.net habe ich mich entschlossen einen kleinen Erfahrungsbericht zu schreiben.
Zur Ausgangslage:
Ein Server mit CentOS 7, Nginx + mod_pagespeed + ngx_brotli, LibreSSL
Webseite die bereitgestellt werden und bereits per SSL verschlüsselt werden.
Grundsätzlich bietet für die Umstellung die Seite
https://certbot.eff.org/
genügend Hilfe für alle gängigsten Varianten an Betriebssystemen und Webservern.
Für mich bedeutete die Umstellung erst einmal das Verzeichnis ".well-known" auf der Webseite zugänglich zu machen.
Hier kann würde mir 2 Probleme die auftauchen können einfallen.
Der Rest ist ein Kinderspiel
Zuerst mussen ein paar Grundlagen installiert werden
Dann kann das Zertifikat beantragt werden.
Je nach Webserver kann dies auch gleich automatisch eingerichtet werden. Persönlich habe ich das nicht getestet. Bei dem Gedanken das mein Konfiguration des Webservers angepasst wird ist mir auch etwas unwohl.
Sollte man feststellen das man mit den Standardeinstellungen nicht einverstanden ist z.B. der Default Key Size 2048bit. Stellt dies kein Problem dar man kann hier jederzeit ein neues den Wünschen entsprechendes Zertifikat beantragen.
Beim ersten abrufen muss man noch Kontaktdaten angeben.
Und das war's eigentlich auch schon.
Unter "/etc/letsencrypt/live" liegen die neuen Zertifikate die man dann verwenden kann.
Alles in allem nicht mal 5 Minuten Aufwand wenn die Webseite schon für HTTPS Konfiguriert ist und man Root Zugriff auf den Webserver hat.
Meiner Meinung nach sprechen langsam nur noch sehr wenig gründe dafür nicht auf HTTPS zu setzen.
Edit:
Da die Zertifikate von Let's Encrypt nur kurze Laufzeiten haben sollte man einen Cronjob einrichten der regemäßig das erneuern übernimmt.
Somit wird jeden Tag um 2:00 nachgefragt ob das Zertifikat zu erneuern ist, dies passiert dann frühestens 30 Tage vor Ablauf. Ansonsten bekommt man einfach eine Rückmeldung das keine Aktion erforderlich ist.
Danach die Konfig von Nginx neu laden.
Persönlich erneuere ich die Parameter für den Diffie Hellman Schlüsselaustausch auch noch.
Allgemeine Informationen zum einrichten der SSL Verschlüsselung kann man auch unter
https://mozilla.github.io/server-side-tls/ssl-config-generator/
finden.
nach dem Theater was aktuell bei StartCom herrscht welches ich aktuell als Zertifikats Anbieter nutzte hab ich mich kurzerhand entschlossen auf Let's Encrypt zu wechseln.
Realistisch gesehen ist dieser Schritt zum aktuellen Zeitpunkt zwar noch nicht notwendig da bestehende Zertifikate noch gültig bleiben, aber man hat ja nicht's besseres zu tun.
Und nach Anfrage von @certifiedit.net habe ich mich entschlossen einen kleinen Erfahrungsbericht zu schreiben.
Zur Ausgangslage:
Ein Server mit CentOS 7, Nginx + mod_pagespeed + ngx_brotli, LibreSSL
Webseite die bereitgestellt werden und bereits per SSL verschlüsselt werden.
Grundsätzlich bietet für die Umstellung die Seite
https://certbot.eff.org/
genügend Hilfe für alle gängigsten Varianten an Betriebssystemen und Webservern.
Für mich bedeutete die Umstellung erst einmal das Verzeichnis ".well-known" auf der Webseite zugänglich zu machen.
Hier kann würde mir 2 Probleme die auftauchen können einfallen.
- Der zugriff auf versteckte Verzeichnisse ist durch die Webserver Konfig verboten
- Autoindex ist ausgeschalten was den Zugriff auf leere Verzeichnisse verhindert
Der Rest ist ein Kinderspiel
Zuerst mussen ein paar Grundlagen installiert werden
yum install epel-release
yum install certbotDann kann das Zertifikat beantragt werden.
certbot certonly --webroot -w /var/www/example -d example.com -d www.example.comJe nach Webserver kann dies auch gleich automatisch eingerichtet werden. Persönlich habe ich das nicht getestet. Bei dem Gedanken das mein Konfiguration des Webservers angepasst wird ist mir auch etwas unwohl.
Sollte man feststellen das man mit den Standardeinstellungen nicht einverstanden ist z.B. der Default Key Size 2048bit. Stellt dies kein Problem dar man kann hier jederzeit ein neues den Wünschen entsprechendes Zertifikat beantragen.
Beim ersten abrufen muss man noch Kontaktdaten angeben.
Und das war's eigentlich auch schon.
Unter "/etc/letsencrypt/live" liegen die neuen Zertifikate die man dann verwenden kann.
Alles in allem nicht mal 5 Minuten Aufwand wenn die Webseite schon für HTTPS Konfiguriert ist und man Root Zugriff auf den Webserver hat.
Meiner Meinung nach sprechen langsam nur noch sehr wenig gründe dafür nicht auf HTTPS zu setzen.
Edit:
Da die Zertifikate von Let's Encrypt nur kurze Laufzeiten haben sollte man einen Cronjob einrichten der regemäßig das erneuern übernimmt.
0 2 * * 1 /usr/bin/certbot renew >> /var/log/le-renew.log
10 2 * * 1 /usr/bin/systemctl reload nginxSomit wird jeden Tag um 2:00 nachgefragt ob das Zertifikat zu erneuern ist, dies passiert dann frühestens 30 Tage vor Ablauf. Ansonsten bekommt man einfach eine Rückmeldung das keine Aktion erforderlich ist.
Danach die Konfig von Nginx neu laden.
Persönlich erneuere ich die Parameter für den Diffie Hellman Schlüsselaustausch auch noch.
Allgemeine Informationen zum einrichten der SSL Verschlüsselung kann man auch unter
https://mozilla.github.io/server-side-tls/ssl-config-generator/
finden.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 317058
Url: https://administrator.de/contentid/317058
Printed on: April 23, 2024 at 17:04 o'clock
3 Comments
Latest comment
Vielen Dank für die Nennung, fühle mich geehrt! 
Persönlich wär ich wirklich nicht auf den Gedanken gekommen das man hierzu was schreiben könnte/sollte.
Aber vielleicht nimmt's ja dem ein oder anderen wirklich den Schrecken um "HTTPS" umzusetzen.
Und wenn man dann noch gleich HTTP2 umsetzt dann wird das Surfen im Netz doch gleich ein bisschen schöner.
Aber vielleicht nimmt's ja dem ein oder anderen wirklich den Schrecken um "HTTPS" umzusetzen.
Und wenn man dann noch gleich HTTP2 umsetzt dann wird das Surfen im Netz doch gleich ein bisschen schöner.
Hi,
du könntest auch den befehl benutzen anstelle eines zweiten cronjobs ;)
und wenn man Zertifikate nachträglich einen größeren Schlüssel geben möchte
du könntest auch den befehl
certbot renew --post-hook "systemctl reload nginx" und wenn man Zertifikate nachträglich einen größeren Schlüssel geben möchte
certbot renew --rsa-key-size 4096
