Let's Encrypt
Aktualisieren der Zertifikate
Die von Let's Encrypt ausgestellten Zertifikate sind nur drei Monate lang gültig. Um nach Ablauf dieses Zeitraums ein neues Zertifikat zu beantragen, kann man die oben beschriebenen Schritte wiederholen oder aber den ganzen Prozess automatisieren. Hierfür müssen lediglich die Antworten für die von letsencrypt-auto
gestellten Fragen bereits beim Aufruf mitgeliefert werden. Dies geschieht entweder über die Kommandozeilen-Parameter oder man legt die Konfigurationsdatei cli.ini im Verzeichnis /etc/letsencrypt entsprechend an:
server = https://acme-v01.api.letsencrypt.org/directory email = webmaster@domain.tld authenticator = webroot webroot-path = /var/www/html/ domains = domain.tld agree-tos = True renew-by-default = True
server
: Hiermit wird der Server angegeben, von dem das Zertifikat bezogen werden soll, d.h. der Let's Encrypt Server.email
: Dies ist die Kontakt-E-Mail für dringende Benachrichtigungen und die Wiederherstellung verlorener Zertifikate.authenticator
/webroot-path
: Mithilfe dieser Anweisung teilt manletsencrypt-auto
mit, dass man zur Authentifizierung einen bereits aufgesetzten Webserver verwenden möchte.letsencrypt-auto
wird dann im Verzeichniswebroot-path
ein Unterverzeichnis.well-known
anlegen, das eine Datei zur Authentifizierung enthält. Mithilfe dieser Datei wird dann sichergestellt, dass der Antragsteller auch wirklich Zugriff auf die Domain besitzt und nicht ein Zertifikat für eine andere, seinem Zugriff nicht unterliegende, Domain anfordert. Der Wert fürwebroot-path
hängt von der verwendeten Distribution und Version ab, ist aber meistens entweder /var/www oder /var/www/html.domains
gibt die Domain an, für welche das Zertifikat ausgestellt werden soll.agree-tos
: Hiermit werden die Servicebedingungen bestätigt.renew-by-default
: Dies fordert ein neues Zertifikat an anstelle einer neuen Kopie des bereits vorhandenen Zertifikats.
Der automatisierte Ablauf kann nun getestet werden, indem man letsencrypt-auto auth
als root ausführt. Dabei sollten keine interaktiven Abfragen mehr erscheinen. Anzumerken bleibt noch, dass Let's Encrypt nur zehn Anfragen pro Domain und Tag zulässt, man muss sich also mit seinen Versuchen etwas zurückhalten.
Funktioniert die Aktualisierung des Zertifikats ohne weitere Interaktion, kann man zum Beispiel eine ausführbare Datei update-cert
in /etc/cron.monthly/
mit folgendem Inhalt erstellen:
#!/bin/sh /path/to/letsencrypt-auto auth apache2ctl restart
Damit wird jeden Monat automatisch ein neues Zertifikat angefordert. /path/to/
muss natürlich noch mit dem Installationsverzeichnis von letsencrypt-auto
ersetzt werden.
Fazit
Wer sich bereits etwas mit Webservern auskennt, hat nun einen einfachen und kostenlosen Weg, seinen Server mit einem Zertifikat auszustatten. Auch wenn das Versprechen von Let's Encrypt, eine Ein-Klick-Lösung anzubieten, noch nicht ganz erreicht ist, dürfte die Installation auch für Hobby-Administratoren zu machen sein.
Die von Let's Encrypt ausgestellten Zertifikate werden momentan von allen aktuellen Browsern aus den Häusern Microsoft, Google und Mozilla anerkannt. Apple konnte mangels Apple-Geräten nicht getestet werden.
In diesem Sinne: Let's Encrypt!
Autoreninformation
Christoph Schmidt ist ein Hobby-Linuxer, welcher unter Verständnislosigkeit seiner Umwelt versucht, möglichst viel seiner privaten IT auf FOSS-Lösungen umzustellen.
Dieser Artikel ist in freiesMagazin 01/2016 (ISSN 1867-7991) erschienen. Veröffentlichung mit freundlicher Genehmigung.