aboutsummaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorLeonard Kugis <leonard@kug.is>2024-04-07 16:04:44 +0200
committerLeonard Kugis <leonard@kug.is>2024-04-07 16:04:44 +0200
commit348cf45da5d2af38188d07ef4a47e26c00502c78 (patch)
tree752f69831c6a0648adff8660177d67acf9f5a3af
parente2aefa6dbff5cf8458b704c55bef0106a42bac64 (diff)
Added Server Zertifikate
-rw-r--r--Server Zertifikate.md31
1 files changed, 31 insertions, 0 deletions
diff --git a/Server Zertifikate.md b/Server Zertifikate.md
new file mode 100644
index 0000000..aade833
--- /dev/null
+++ b/Server Zertifikate.md
@@ -0,0 +1,31 @@
+# Server Zertifikate
+
+Momentan existiert für alle Services nur ein Key (`ca.key`) und ein Zertifikat (`ca.crt`).
+Für die einzelnen Services existiert jeweils ein Link (symbolisch) auf das Zertifikat bzw. den Key, den der Service benutzen soll,
+beispielsweise `apache.key` -> `ca.key`.
+
+## Neues Zertifikat ausstellen lassen
+
+1. Erstellen der Request-Konfiguration `req.conf`, mit allen Domains, die zertifiziert sein sollen.
+2. Generieren des `ca.csr`: `openssl req -new -out ca.csr -key /etc/ssl/private/ca.key -config req.conf`.
+3. In `/etc/apache2/sites-available` sicherstellen, dass alle Domains auf Port 80 auf den selben `DocumentRoot` verweisen,
+ eventuelle `Redirect`-Einstellungen auskommentieren.
+4. Reload von Apache: `systemctl reload apache2`.
+5. Erteilen des Zertifikates (`Lets Encrypt`): `certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr`.
+6. Zertifikat an die richtige Stelle verschieben: `mv 0001_chain.pem /etc/ssl/certs/ca.crt`.
+7. Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt: `rm 000*`.
+8. In `/etc/apache2/sites-available` eventuelle Vorkonfiguration wiederherstellen.
+9. Reload von Apache: `systemctl reload apache2`.
+
+## Zertifikat erneuern
+
+Annahme: `ca.csr` existiert schon im aktuellen Verzeichnis.
+
+1. In `/etc/apache2/sites-available` sicherstellen, dass alle Domains auf Port 80 auf den selben `DocumentRoot` verweisen,
+ eventuelle `Redirect`-Einstellungen auskommentieren.
+2. Reload von Apache: `systemctl reload apache2`.
+3. Erteilen des Zertifikates (`Lets Encrypt`): `certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr`.
+4. Zertifikat an die richtige Stelle verschieben: `mv 0001_chain.pem /etc/ssl/certs/ca.crt`.
+5. Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt: `rm 000*`.
+6. In `/etc/apache2/sites-available` eventuelle Vorkonfiguration wiederherstellen.
+7. Reload von Apache: `systemctl reload apache2`. \ No newline at end of file