Let's Encrypt

Die von Let's Encrypt ausgestellten Zertifikate sind nur drei Monate lang gültig. Um nach Ablauf dieses Zeitraums ein neues Zertifikat zu beantragen, kann man die oben beschriebenen Schritte wiederholen oder aber den ganzen Prozess automatisieren. Hierfür müssen lediglich die Antworten für die von letsencrypt-auto gestellten Fragen bereits beim Aufruf mitgeliefert werden. Dies geschieht entweder über die Kommandozeilen-Parameter oder man legt die Konfigurationsdatei cli.ini im Verzeichnis /etc/letsencrypt entsprechend an:

server = https://acme-v01.api.letsencrypt.org/directory
email = webmaster@domain.tld
authenticator = webroot
webroot-path = /var/www/html/
domains = domain.tld
agree-tos = True
renew-by-default = True

• server: Hiermit wird der Server angegeben, von dem das Zertifikat bezogen werden soll, d.h. der Let's Encrypt Server.
• email: Dies ist die Kontakt-E-Mail für dringende Benachrichtigungen und die Wiederherstellung verlorener Zertifikate.
• authenticator/webroot-path: Mithilfe dieser Anweisung teilt man letsencrypt-auto mit, dass man zur Authentifizierung einen bereits aufgesetzten Webserver verwenden möchte. letsencrypt-auto wird dann im Verzeichnis webroot-path ein Unterverzeichnis .well-known anlegen, das eine Datei zur Authentifizierung enthält. Mithilfe dieser Datei wird dann sichergestellt, dass der Antragsteller auch wirklich Zugriff auf die Domain besitzt und nicht ein Zertifikat für eine andere, seinem Zugriff nicht unterliegende, Domain anfordert. Der Wert für webroot-path hängt von der verwendeten Distribution und Version ab, ist aber meistens entweder /var/www oder /var/www/html.
• domains gibt die Domain an, für welche das Zertifikat ausgestellt werden soll.
• agree-tos: Hiermit werden die Servicebedingungen bestätigt.
• renew-by-default: Dies fordert ein neues Zertifikat an anstelle einer neuen Kopie des bereits vorhandenen Zertifikats.

Der automatisierte Ablauf kann nun getestet werden, indem man letsencrypt-auto auth als root ausführt. Dabei sollten keine interaktiven Abfragen mehr erscheinen. Anzumerken bleibt noch, dass Let's Encrypt nur zehn Anfragen pro Domain und Tag zulässt, man muss sich also mit seinen Versuchen etwas zurückhalten.

Funktioniert die Aktualisierung des Zertifikats ohne weitere Interaktion, kann man zum Beispiel eine ausführbare Datei update-cert in /etc/cron.monthly/ mit folgendem Inhalt erstellen:

#!/bin/sh

/path/to/letsencrypt-auto auth
apache2ctl restart

Damit wird jeden Monat automatisch ein neues Zertifikat angefordert. /path/to/ muss natürlich noch mit dem Installationsverzeichnis von letsencrypt-auto ersetzt werden.

Wer sich bereits etwas mit Webservern auskennt, hat nun einen einfachen und kostenlosen Weg, seinen Server mit einem Zertifikat auszustatten. Auch wenn das Versprechen von Let's Encrypt, eine Ein-Klick-Lösung anzubieten, noch nicht ganz erreicht ist, dürfte die Installation auch für Hobby-Administratoren zu machen sein.

Die von Let's Encrypt ausgestellten Zertifikate werden momentan von allen aktuellen Browsern aus den Häusern Microsoft, Google und Mozilla anerkannt. Apple konnte mangels Apple-Geräten nicht getestet werden.

In diesem Sinne: Let's Encrypt!

Christoph Schmidt ist ein Hobby-Linuxer, welcher unter Verständnislosigkeit seiner Umwelt versucht, möglichst viel seiner privaten IT auf FOSS-Lösungen umzustellen.

Dieser Artikel ist in freiesMagazin 01/2016 (ISSN 1867-7991) erschienen. Veröffentlichung mit freundlicher Genehmigung.

• Drucken
• Versenden

• Kurz-URL

• Social Networks: mehr

Lesezeichen hinzufügen

• deli.cio.us
• Digg
• Facebook
• Folkd
• Google
• Identi.ca
• Linkarena
• Live
• Mr.Wong
• MySpace
• Newsvine
• Oneview
• reddit
• StudiVZ
• Stumble
• Twitter
• Yahoo!
• Yigg

• Webzugang für Gäste: Per Kiosk-Browser... 
• Das neue Paketformat Snappy in Ubuntu