Einführung
Dieses Tutorial zeigt Ihnen, wie Sie ein TLS / SSL-Zertifikat vonLet’s Encrypt auf einem Ubuntu 14.04-Server einrichten, auf dem Apache als Webserver ausgeführt wird.
SSL-Zertifikate werden auf Webservern verwendet, um den Datenverkehr zwischen Server und Client zu verschlüsseln. Dies bietet zusätzliche Sicherheit für Benutzer, die auf Ihre Anwendung zugreifen. Let’s Encrypt bietet eine einfache Möglichkeit, vertrauenswürdige Zertifikate kostenlos abzurufen und zu installieren.
Voraussetzungen
Um diesen Leitfaden zu vervollständigen, benötigen Sie:
-
Ein Ubuntu 14.04-Server mit einem Nicht-Root-Sudo-Benutzer, den Sie einrichten können, indem Sie unseremInitial Server Setup-Handbuch folgen
-
Der Apache-Webserver, auf demone or more domain namesinstalliert ist, ist ordnungsgemäß konfiguriert
Wenn Sie bereit sind, fortzufahren, melden Sie sich mit Ihrem sudo-aktivierten Konto bei Ihrem Server an.
[[Schritt 1 - Download des Clients zum Verschlüsseln]] == Schritt 1 - Laden Sie den Client zum Verschlüsseln herunter
Der erste Schritt zur Verwendung von Let's Encrypt zum Abrufen eines SSL-Zertifikats besteht darin, diecertbot
-Software auf Ihrem Server zu installieren. Die Certbot-Entwickler unterhalten ein eigenes Ubuntu-Software-Repository mit aktuellen Versionen der Software. Da sich Certbot in einer so aktiven Entwicklung befindet, lohnt es sich, dieses Repository zu verwenden, um einen neueren Certbot als den von Ubuntu bereitgestellten zu installieren.
Fügen Sie zunächst das Repository hinzu:
sudo add-apt-repository ppa:certbot/certbot
Sie müssenENTER
drücken, um zu akzeptieren. Aktualisieren Sie anschließend die Paketliste, um die Paketinformationen des neuen Repositorys abzurufen:
sudo apt-get update
Und schließlich installieren Sie Certbot aus dem neuen Repository mitapt-get
:
sudo apt-get install python-certbot-apache
Dercertbot
Let's Encrypt-Client ist jetzt einsatzbereit.
[[Schritt-2 -—- Einrichten des SSL-Zertifikats]] == Schritt 2 - Einrichten des SSL-Zertifikats
Das Generieren des SSL-Zertifikats für Apache mit dem Let's Encrypt-Client voncertbot
ist recht einfach. Der Client erhält und installiert automatisch ein neues SSL-Zertifikat, das für die als Parameter angegebenen Domänen gültig ist.
Führen Sie den Befehlcertbot
aus, um die interaktive Installation auszuführen und ein Zertifikat zu erhalten, das nur eine einzelne Domäne abdeckt:
sudo certbot --apache -d example.com
Wenn Sie ein einzelnes Zertifikat installieren möchten, das für mehrere Domänen oder Unterdomänen gültig ist, können Sie diese als zusätzliche Parameter an den Befehl übergeben. Der erste Domänenname in der Liste der Parameter ist diebase-Domäne, die von Let's Encrypt zum Erstellen des Zertifikats verwendet wird. Aus diesem Grund empfehlen wir, dass Sie den bloßen Domänennamen der obersten Ebene als ersten in der Liste übergeben durch zusätzliche Subdomains oder Aliase:
sudo certbot --apache -d example.com -d www.example.com
In diesem Beispiel ist die Domänebaseexample.com
.
Sie werden aufgefordert, eine E-Mail-Adresse für die Wiederherstellung verlorener Schlüssel und Benachrichtigungen anzugeben. Außerdem müssen Sie den Let's Encrypt-Nutzungsbedingungen zustimmen. Sie werden dann aufgefordert, zwischen der Aktivierung des Zugriffs vonhttp
undhttps
zu wählen oder alle Anforderungen zur Umleitung zuhttps
zu zwingen.
Wenn die Installation abgeschlossen ist, sollten Sie in der Lage sein, die generierten Zertifikatdateien unter/etc/letsencrypt/live
zu finden. Sie können den Status Ihres SSL-Zertifikats über den folgenden Link überprüfen (vergessen Sie nicht,example.com durch Ihrebase-Domäne zu ersetzen):
https://www.ssllabs.com/ssltest/analyze.html?d=example.com&latest
Sie sollten jetzt mit dem Präfixhttps
auf Ihre Website zugreifen können.
[[Schritt 3 - Überprüfung der automatischen Erneuerung von Certbot]] == Schritt 3 - Überprüfung der automatischen Erneuerung von Certbot
Lassen Sie uns Zertifikate nur 90 Tage verschlüsseln. Das von uns installierte certbot-Paket erledigt dies jedoch, indem escertbot renew
zweimal täglich über einen systemd-Timer ausführt. Bei Nicht-Systemd-Distributionen wird diese Funktionalität durch ein in/etc/cron.d
platziertes Cron-Skript bereitgestellt. Die Aufgabe wird zweimal täglich ausgeführt und erneuert jedes Zertifikat, das innerhalb von 30 Tagen nach dem Ablaufdatum abgelaufen ist.
Um den Erneuerungsprozess zu testen, können Sie einen Trockenlauf mitcertbot
durchführen:
sudo certbot renew --dry-run
Wenn Sie keine Fehler sehen, sind Sie fertig. Bei Bedarf erneuert Certbot Ihre Zertifikate und lädt Apache neu, um die Änderungen zu übernehmen. Wenn die automatische Erneuerung jemals fehlschlägt, sendet Let’s Encrypt eine Nachricht an die von Ihnen angegebene E-Mail-Adresse und warnt Sie, wenn Ihr Zertifikat in Kürze abläuft.
Fazit
In diesem Handbuch wurde beschrieben, wie Sie ein kostenloses SSL-Zertifikat von Let's Encrypt installieren, um eine mit Apache gehostete Website zu sichern. Wir empfehlen, dass Sie von Zeit zu Zeit die offiziellenLet’s Encrypt blog auf wichtige Aktualisierungen überprüfen undthe Certbot documentation lesen, um weitere Informationen zum Certbot-Client zu erhalten.