Let's Encrypt

Aus uniXa-Knowledge
Zur Navigation springen Zur Suche springen

Let’s Encrypt ist eine Zertifizierungsstelle, die Ende 2015 in Betrieb gegangen ist und kostenlose X.509-Zertifikate für Transport Layer Security (TLS) anbietet.

Allgemein

Installation

  1. sudo add-apt-repository ppa:certbot/certbot
  2. sudo apt-get update && sudo apt install python-certbot-apache -y
  3. sudo certbot --apache -d domain.tld -d sub.domain.tld

Erklärung:
Im ersten Schritt wird die Repository hinzugefügt, danach die Paketliste aktualisiert und der certbot installiert.
Der letzte Schritt ist die erstmalige Erstellung des Zertifikats.

Limitierung / Fehlermeldungen

  • too many failed authorizations recently

Bedeutet: Es besteht ein Limit von 5 fehlgeschlagenen Registrierungen / Stunde. Wenn dieses Limit erreicht ist, wird dieser Fehler angezeigt.

  • too many certificates already issued for exact set of domains

Bedeutet: Es besteht ein Limit von 5 Zertifikaten für die exakt gleiche Domain / Woche. Wenn dieses Limit erreicht ist, wird dieser Fehler angezeigt.

  • too many registrations for this IP

Bedeutet: Es besteht ein Limit von 10 Accounts / IP Adresse / 3 Stunden. Wenn dieses Limit erreicht ist, wird dieser Fehler angezeigt.

  • too many currently pending authorizations

Bedeutet: Es besteht ein Limit von 300 gleichzeitigen Registrierungen / Account. Wenn dieses Limit erreicht ist, wird dieser Fehler angezeigt.

Zertifikate verwalten

Aktualisierung eines Zertifikat - Automatisch Subdomain

  • certbot renew && systemctl restart apache2.service

Erklärung:
Der certbot erkennt ob das Zertifikat für eine Subdomain erstellt werden soll und kann die Authentifizierung mit einer Textdatei selbstständig durchführen.

Wildcard Zertifikat erstellen - Manuell

  1. SSH in den Webserver
  2. letsencrypt certonly --rsa-key-size 4096 --agree-tos -d *.domain.tld --server https://acme-v02.api.letsencrypt.org/directory --authenticator manual
  3. Es wird nun ein Code angezeigt, der als Subdomain _acme-challenge unter der domain.tld angelegt werden muss als TXT Eintrag
  4. Ungefähr 5 Minuten warten und Enter

Erklärung:
Bei einem Wildcard Zertifikat welches für die ganze domain.tld gilt gibt es je nach DNS Anbieter keine automatische Möglichkeit der Erstellung.
Dieser Vorgang muss alle 90 Tage für die Aktualisierung neu durchgeführt werden.