TOC

Verwendung des Certbot-Standalone-Modus zum Abrufen Lassen Sie uns SSL-Zertifikate unter Debian 9 verschlüsseln

Einführung

Let’s Encrypt ist ein Dienst, der kostenlose SSL-Zertifikate über eine automatisierte API anbietet. Der beliebteste Let’s Encrypt-Client ist EFF‹ https://certbot.eff.org/[Certbot.

Certbot bietet eine Vielzahl von Möglichkeiten, um Ihre Domain zu validieren, Zertifikate abzurufen und Apache und Nginx automatisch zu konfigurieren. In diesem Lernprogramm wird der Standalone-Modus von Certbot erläutert und erläutert, wie er zum Sichern anderer Arten von Diensten verwendet wird, z. B. für einen Mailserver oder einen Nachrichtenbroker wie RabbitMQ.

Wir werden die Details der SSL-Konfiguration nicht besprechen, aber wenn Sie fertig sind, verfügen Sie über ein gültiges Zertifikat, das automatisch erneuert wird. Darüber hinaus können Sie das erneute Laden Ihres Dienstes automatisieren, um das erneuerte Zertifikat abzurufen.

Voraussetzungen

Bevor Sie dieses Tutorial starten können, benötigen Sie:

  • Ein Debian 9-Server mit einem nicht-root, sudo-fähigen Benutzer und einer grundlegenden Firewall, wie in this beschrieben Debian 9 Server Setup Tutorial.

  • Ein Domainname, der auf Ihren Server verweist. Dies können Sie erreichen, indem Sie „https://www.digitalocean.com/community/tutorials/how-to-set-up-a-host-name-with-digitalocean[How to Set“ befolgen Einen Hostnamen mit DigitalOcean einrichten]. “In diesem Lernprogramm wird durchgehend" ++ "verwendet.

  • Port 80 * oder * 443 muss auf Ihrem Server nicht verwendet werden. Wenn sich der Dienst, den Sie sichern möchten, auf einem Computer mit einem Webserver befindet, der beide Ports belegt, müssen Sie einen anderen Modus verwenden, z. B. https://certbot.eff.org/docs/using von Certbot. html # webroot [webroot mode] oder DNS-basierter Herausforderungsmodus.

Schritt 1 - Installation von Certbot

Debian 9 enthält den Certbot-Client in seinem Standard-Repository und sollte für den grundlegenden Gebrauch aktuell genug sein. Wenn Sie DNS-basierte Herausforderungen durchführen oder andere neuere Certbot-Funktionen verwenden müssen, sollten Sie stattdessen die Installation über das Repo "+ stretch-backports +" gemäß den Anweisungen unter https://certbot.eff.org/lets-encrypt/debianstretch-other [ausführen. die offizielle Certbot-Dokumentation].

Verwenden Sie "+ apt ", um das " certbot +" -Paket zu installieren:

sudo apt install certbot

Sie können Ihre Installation testen, indem Sie + certbot + bitten, die Versionsnummer auszugeben:

certbot --version
Outputcertbot 0.28.0

Nachdem wir Certbot installiert haben, führen wir es aus, um unser Zertifikat zu erhalten.

Schritt 2 - Ausführen von Certbot

Certbot muss eine kryptografische Abfrage der Let’s Encrypt-API beantworten, um zu beweisen, dass wir unsere Domain kontrollieren. Dazu werden die Ports "+ 80 " (HTTP) oder " 443 +" (HTTPS) verwendet. Öffnen Sie den entsprechenden Port in Ihrer Firewall:

sudo ufw allow

Ersetzen Sie "+ 443 " oben, wenn dies der von Ihnen verwendete Port ist. ` ufw +` bestätigt, dass Ihre Regel hinzugefügt wurde:

OutputRule added
Rule added (v6)

Wir können jetzt Certbot ausführen, um unser Zertifikat zu erhalten. Mit der Option "+ - Standalone " weisen wir Certbot an, die Herausforderung über einen eigenen integrierten Webserver zu bewältigen. Die Option " - Bevorzugte Herausforderungen " weist Certbot an, Port 80 oder Port 443 zu verwenden. Wenn Sie Port 80 verwenden, möchten Sie " - Preferred-Challenges http". Für Port 443 wäre es "+ - Preferred-Challenges tls-sni ". Schließlich wird das Flag " -d " verwendet, um die Domäne anzugeben, für die Sie ein Zertifikat anfordern. Sie können mehrere " -d +" - Optionen hinzufügen, um mehrere Domänen in einem Zertifikat abzudecken.

sudo certbot certonly --standalone --preferred-challenges  -d

Wenn Sie den Befehl ausführen, werden Sie aufgefordert, eine E-Mail-Adresse einzugeben und den Nutzungsbedingungen zuzustimmen. Anschließend sollten Sie eine Meldung erhalten, die besagt, dass der Vorgang erfolgreich war und wo Ihre Zertifikate gespeichert sind:

OutputIMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
  /etc/letsencrypt/live//fullchain.pem
  Your key file has been saved at:
  /etc/letsencrypt/live//privkey.pem
  Your cert will expire on 2019-08-28. To obtain a new or tweaked
  version of this certificate in the future, simply run certbot
  again. To non-interactively renew *all* of your certificates, run
  "certbot renew"
- Your account credentials have been saved in your Certbot
  configuration directory at /etc/letsencrypt. You should make a
  secure backup of this folder now. This configuration directory will
  also contain certificates and private keys obtained by Certbot so
  making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:

  Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
  Donating to EFF:                    https://eff.org/donate-le

Wir haben unsere Zertifikate. Sehen wir uns an, was wir heruntergeladen haben und wie die Dateien mit unserer Software verwendet werden.

Schritt 3 - Konfigurieren Ihrer Anwendung

Die Konfiguration Ihrer Anwendung für SSL würde den Rahmen dieses Artikels sprengen, da für jede Anwendung andere Anforderungen und Konfigurationsoptionen gelten. Schauen wir uns jedoch an, was Certbot für uns heruntergeladen hat. Verwenden Sie "+ ls", um das Verzeichnis aufzulisten, in dem sich Ihre Schlüssel und Zertifikate befinden:

sudo ls /etc/letsencrypt/live/
Outputcert.pem  chain.pem  fullchain.pem  privkey.pem  README

Die Datei "+ README +" in diesem Verzeichnis enthält weitere Informationen zu jeder dieser Dateien. Meistens benötigen Sie nur zwei dieser Dateien:

  • + privkey.pem +: Dies ist der private Schlüssel für das Zertifikat. Dies muss sicher und geheim gehalten werden, weshalb der größte Teil des Verzeichnisses "+ / etc / letsencrypt " über sehr eingeschränkte Berechtigungen verfügt und nur für den Benutzer "* root *" zugänglich ist. Die meisten Softwarekonfigurationen bezeichnen dies als etwas Ähnliches wie " ssl-certificate-key " oder " ssl-certificate-key-file +".

  • + fullchain.pem +: Dies ist unser Zertifikat, das mit allen Zwischenzertifikaten gebündelt ist. Die meisten Programme verwenden diese Datei für das eigentliche Zertifikat und verweisen in ihrer Konfiguration mit einem Namen wie "SSL-Zertifikat" darauf.

Weitere Informationen zu den anderen vorhandenen Dateien finden Sie im Abschnitt "https://certbot.eff.org/docs/using.html#where-are-my-certificates[Where are my certificates]" der Certbot-Dokumentation.

Manche Software benötigt Zertifikate in anderen Formaten, an anderen Orten oder mit anderen Benutzerberechtigungen. Es ist am besten, alles im Verzeichnis "+ letsencrypt +" zu belassen und dort keine Berechtigungen zu ändern (Berechtigungen werden bei der Erneuerung ohnehin überschrieben), aber manchmal ist dies einfach keine Option. In diesem Fall müssen Sie ein Skript schreiben, um Dateien zu verschieben und die Berechtigungen nach Bedarf zu ändern. Dieses Skript muss immer dann ausgeführt werden, wenn Certbot die Zertifikate erneuert. Dies wird im Folgenden behandelt.

Schritt 4 - Umgang mit Certbot Automatic Renewals

Let´s Encrypt-Zertifikate sind nur neunzig Tage gültig. Dies soll Benutzer dazu ermutigen, ihren Zertifikaterneuerungsprozess zu automatisieren. Das von uns installierte "+ certbot " - Paket kümmert sich darum, indem es ein Erneuerungsskript zu " / etc / cron.d +" hinzufügt. Dieses Skript wird zweimal täglich ausgeführt und erneuert alle Zertifikate, die innerhalb von 30 Tagen nach dem Ablaufdatum vorliegen.

Da unsere Zertifikate automatisch erneuert werden, müssen wir nach einer Erneuerung noch weitere Aufgaben ausführen können. Wir müssen unseren Server mindestens neu starten oder neu laden, um die neuen Zertifikate abzurufen. Wie in Schritt 3 erwähnt, müssen wir möglicherweise die Zertifikatdateien auf irgendeine Weise bearbeiten, damit sie mit der von uns verwendeten Software funktionieren. Dies ist der Zweck der Certbot-Option "+ renew_hook +".

Um ein "+ renew_hook +" hinzuzufügen, aktualisieren wir die Erneuerungskonfigurationsdatei von Certbot. Certbot speichert alle Details, wie Sie das Zertifikat zum ersten Mal abgerufen haben, und wird bei der Erneuerung mit denselben Optionen ausgeführt. Wir müssen nur unseren Haken hinzufügen. Öffne die Konfigurationsdatei mit deinem Lieblingseditor:

sudo nano /etc/letsencrypt/renewal/example.com.conf

Eine Textdatei mit einigen Konfigurationsoptionen wird geöffnet. Fügen Sie Ihren Haken in die letzte Zeile ein:

/etc/letsencrypt/renewal/example.com.conf

renew_hook =

Aktualisieren Sie den obigen Befehl auf die erforderlichen Werte, um den Server neu zu laden oder um Ihr benutzerdefiniertes Dateimungsskript auszuführen. Normalerweise verwenden Sie unter Debian meistens "+ systemctl +", um einen Dienst neu zu laden. Speichern und schließen Sie die Datei, und führen Sie dann einen Certbot-Testlauf aus, um sicherzustellen, dass die Syntax in Ordnung ist:

sudo certbot renew --dry-run

Wenn Sie keine Fehler sehen, sind Sie fertig. Certbot wird bei Bedarf erneuert und führt alle Befehle aus, die erforderlich sind, um Ihren Dienst mithilfe der neuen Dateien zu erhalten.

Fazit

In diesem Lernprogramm haben wir den Certbot Let’s Encrypt-Client installiert, ein SSL-Zertifikat im Standalone-Modus heruntergeladen und die automatische Verlängerung mit Erneuerungs-Hooks aktiviert. Dies sollte Ihnen einen guten Einstieg in die Verwendung von Let’s Encrypt-Zertifikaten mit anderen Diensten als Ihrem typischen Webserver ermöglichen.

Weitere Informationen finden Sie unter Certbot’s documentation.

Related