https einrichten

Mittlerweile ist es nicht mehr so kompliziert die eigene Homepage auf https umzustellen.

Zertifikat

In der c't gab es einen Artikel, wie man an ein richtiges Zertifikat kommt, für lau.

• http://www.heise.de/security/meldung/Let-s-Encrypt-Ab-dem-3-Dezember-Gratis-SSL-Zertifikate-fuer-alle-2920357.html

Man möge die Anleitung lesen, wie man den certbot installiert. Danach sollte ein certbot --apache reichen, funktionierte bei mir leider nicht, die Fehlermeldung ist far away von verständlich.

Ein bisschen weiter vergraben in der richtigen Anleitung findet sich dann eine Lösung die bei mir funktionierte.

 certbot certonly --webroot -w </path-to-htdocs/> -d <DNS-Name>

Danach hat man das Zertifikat auf dem Rechner liegen und muss es nur noch einrichten.

Wie in der Anleitung beschrieben gibt es das Zertifikat für 90 Tage. Danach soll ein renewal helfen.

Apache einstellen

Es gibt im aktuellen Gentoo Apache bereits eine ssl vhost Datei, in dieser brauchen nur 2 Einträge angepasst werden:

 SSLCertificateFile    /etc/letsencrypt/live/<DNS-Name>/fullchain.pem
 SSLCertificateKeyFile /etc/letsencrypt/live/<DNS-Name>/privkey.pem

ggf. müssen die User:Gruppe auf apache:apache umgestellt werden.

Firewall

Mein Problem war, das ich fast alle Ports ins Nirvana schicke (DROP) per iptables. Folgendes musste ich in den Firewall Regeln eintragen, damit https akzeptiert wird.

 iptables -A INPUT -p TCP --dport https -d 0/0 -j ACCEPT

Jetzt funktioniert der Zugriff per https://<DNS-Name>/

Ein kleines Schloss neben der URL zeigt, das der Zugriff jetzt verschlüsselt ist.

Renew

 certbot renew --webroot

Updated sämtliche Zertifikate ohne wenn und aber, man sollte tunlichst auf die cert.pem o.ä. verweisen.

/Lars