SSL

Mein erstes Let’s Encrypt Zertifikat

Foto: Christian Schnettelker - CC BY 2.0

„Alles ver­schlüs­seln, was man ver­schlüs­seln kann,“ lau­tet die Losung spä­tes­tens seit Edward Snow­den uns vor Augen geführt hat, was die Geheim­diens­te alles über­wa­chen. So nach und nach kom­men die ver­schie­de­nen Initia­ti­ven dazu auch in Fahrt. Ein Fla­schen­hals waren bis­her immer die Kos­ten für Zer­ti­fi­ka­te. Let’s Encrypt will das ändern und bie­tet seit Anfang Dezem­ber kos­ten­lo­se SSL-Zer­ti­fi­ka­te an. Ich habe die frei­en Tage genutzt, um mir mein ers­tes eige­nes Zer­ti­fi­kat zu erstel­len und zu installieren.

Die meis­te Zeit ist für den ver­geb­li­chen Ver­such drauf­ge­gan­gen, Let’s Encrypt mit mei­nem Pro­vi­der All-Inkl.com zu ver­kup­peln. Letzt­lich ist es dar­an geschei­tert, dass All-Inkl.com selbst schon an einer Imple­men­tie­rung im Backend arbei­tet, die frei­ge­schal­tet wird, sobald Let’s Encrypt die Beta-Pha­se verlässt.

Auf einem ande­ren Ser­ver aber ging es. Let’s Encrypt bie­tet einen Cli­ent, der die Zer­ti­fi­ka­te erstellt und instal­liert – aller­dings klappt das so ganz auto­ma­tisch nicht mit dem nginx-Web­ser­ver. Da muss­te ich ein wenig basteln:

Im Home­ver­zeich­nis habe ich mir ein Ver­zeich­nis SSL angelegt:

mkdir SSL

Dann habe ich mir den Let’s Encrypt-Cli­ent direkt aus dem Git installiert:

sudo apt-get install git
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt

Der Cli­ent legt eine Datei mit einem Namen und Inhalt aus zufäl­li­gen Zei­chen an, die Let’s Encrypt dann ver­sucht über das Inter­net auf­zu­ru­fen. So stellt der Dienst fest, ob ich berech­tigt bin, das Zer­ti­fi­kat für die Domain zu bean­tra­gen. Die Datei liegt dann im Ver­zeich­nis .well_​known/​acme_​challenge – Die­ses Ver­zeich­nis hält man am bes­ten aus dem nor­ma­len Web­ver­zeich­nis her­aus und lässt dort auch nur die Aus­lie­fe­rung rei­ner Text-Datei­en zu. Des­we­gen lege ich die Zer­ti­fi­ka­te ab unter /​var/​www/​letsencrypt:

sudo mkdir /var/www/letsencrypt

Die­se Loca­ti­on muss nun dem nginx bekannt gemacht wer­den. In der Con­fig muss­te ich dazu ergänzen:

location ^~ /.well-known/acme-challenge {
  default_type text/plain;
  root /var/www/letsencrypt;
}
location = /.well-known/acme-challenge/ {
  return 404;
}

Jetzt kann ich das Zer­ti­fi­kat beantragen:

sudo ./letsencrypt-auto certonly --webroot -w /var/www/letsencrypt -d MYDOMAIN.COM

Nun ände­re ich die Zugriffs­rech­te für die Zer­ti­fi­kats­da­tei­en, so dass da nur her­an­kommt, wer es wirk­lich muss:

chmod 600 /etc/letsencrypt/live/MYDOMAIN.COM/fullchain.pem
chmod 600 /etc/letsencrypt/live/MYDOMAIN.COM/privkey.pem
chmod 600 /etc/letsencrypt/live/MYDOMAIN.COM/chain.pem
chmod 600 /etc/letsencrypt/live/MYDOMAIN.COM/cert.pem

SSL bzw. TLS läuft übli­cher­wei­se auf Port 443 – auf dem hat mein Web­ser­ver bis­her nicht gelauscht. Das muss ich jetzt umstel­len und ich wer­den auch gleich ein­stel­len, dass alle unver­schlüs­sel­ten Anfra­gen auf Port 80 umge­lei­tet wer­den. In der Con­fig steht dann am Anfang:

server {
        listen 80;
        server_name MYDOMAIN.COM;
        return 301 https://MYDOMAIN.COM$request_uri;
}

server {
        listen  443; 

        ssl on;

        ssl_certificate /etc/letsencrypt/live/MYDOMAIN.COM/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/MYDOMAIN.COM/privkey.pem;
…

Nun muss der Web­ser­ver ein­mal die neue Con­fig laden:

sudo service nginx restart

Und schon ist die gesam­te Site nur noch per HTTPS erreichbar!

Die Zer­ti­fi­ka­te von Let’s Encrypt sind nur 90 Tage gül­tig. Da ich kei­ne Lust habe, das immer manu­ell zu machen, habe ich mir ein klei­nes Shell-Script geschrieben:

cd ~/SSL
nano update.MYDOMAIN.COM

Dar­in steht:

#!/bin/bash

letsencrypt/letsencrypt-auto certonly --renew-by-default --webroot -w /var/www/letsencrypt -d MYDOMAIN.COM

chmod 600 /etc/letsencrypt/live/MYDOMAIN.COM/fullchain.pem
chmod 600 /etc/letsencrypt/live/MYDOMAIN.COM/privkey.pem
chmod 600 /etc/letsencrypt/live/MYDOMAIN.COM/chain.pem
chmod 600 /etc/letsencrypt/live/MYDOMAIN.COM/cert.pem

service nginx restart

Und das rufe ich in der Cron­tab auto­ma­tisch immer am 15. jeden Monats, mor­gens um 6:10 Uhr auf:

sudo nano /etc/crontab

Der neue Ein­trag lautet:

10 6   15 * *   root    ~/SSL/update.MYDOMAIN.COM

Damit der Cron-Dienst das auch weiß, muss auch der ein­mal neu gestar­tet werden:

sudo service cron restart

Fer­tig.

Soweit ich das ver­stan­den habe, funk­tio­niert das meis­te davon bei Apa­che als Web­ser­ver schon auto­ma­tisch. Auf SSL umstel­len muss man den Ser­ver trotz­dem noch manu­ell. Für einen Ser­vice in der Beta-Pha­se läuft es aber schon ganz gut und auch die ande­ren Expe­ri­men­te, über die ich auf dem Weg gele­sen habe, sehen viel­ver­spre­chend aus. Wenn Hos­ter wie All-Inkl.com das Sys­tem dann in ihre Kun­den­ver­wal­tung ein­bin­den, ist das nur noch ein Häk­chen, das man set­zen muss. Das ist gut – aber auch nur die hal­be Mie­te. Die Umstel­lung einer bestehen­den Word­Press-Sei­te auf SSL hat sich auch schon nicht als ganz so ein­fach her­aus­ge­stellt. Ins­ge­samt wird das aber ein Schritt dazu sein, dass Ver­schlüs­se­lung immer nor­ma­ler wird.

Steffen Voß

Schlagwörter

, ,

Ähnliches Thema

Beliebte Artikel


Neueste Artikel

Folge mir

Kommentare

  1. Avatar von Kai
    Kai

    Super, dann wol­len wir hof­fen, dass die Beta-Pha­se bald been­det wird!
    Dan­ke, dass Du mir die Anfra­ge bei All­inkl erspart hast!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert