Server Zertifikate
Momentan existiert für alle Services nur ein Key (ca.key
) und ein Zertifikat (ca.crt
). Für die einzelnen Services existiert jeweils ein Link (symbolisch) auf das Zertifikat bzw. den Key, den der Service benutzen soll, beispielsweise apache.key
-> ca.key
.
Neues Zertifikat ausstellen lassen
- Erstellen der Request-Konfiguration
req.conf
, mit allen Domains, die zertifiziert sein sollen. - Generieren des
ca.csr
:openssl req -new -out ca.csr -key /etc/ssl/private/ca.key -config req.conf
. - In
/etc/apache2/sites-available
sicherstellen, dass alle Domains auf Port 80 auf den selbenDocumentRoot
verweisen, eventuelleRedirect
-Einstellungen auskommentieren. - Reload von Apache:
systemctl reload apache2
. - Erteilen des Zertifikates (
Lets Encrypt
):certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr
. - Zertifikat an die richtige Stelle verschieben:
mv 0001_chain.pem /etc/ssl/certs/ca.crt
. - Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt:
rm 000*
. - In
/etc/apache2/sites-available
eventuelle Vorkonfiguration wiederherstellen. - Reload von Apache:
systemctl reload apache2
.
Zertifikat erneuern
Annahme: ca.csr
existiert schon im aktuellen Verzeichnis.
- In
/etc/apache2/sites-available
sicherstellen, dass alle Domains auf Port 80 auf den selbenDocumentRoot
verweisen, eventuelleRedirect
-Einstellungen auskommentieren. - Reload von Apache:
systemctl reload apache2
. - Erteilen des Zertifikates (
Lets Encrypt
):certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr
. - Zertifikat an die richtige Stelle verschieben:
mv 0001_chain.pem /etc/ssl/certs/ca.crt
. - Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt:
rm 000*
. - In
/etc/apache2/sites-available
eventuelle Vorkonfiguration wiederherstellen. - Reload von Apache:
systemctl reload apache2
.