diff options
-rw-r--r-- | Server Zertifikate.md | 31 |
1 files changed, 31 insertions, 0 deletions
diff --git a/Server Zertifikate.md b/Server Zertifikate.md new file mode 100644 index 0000000..aade833 --- /dev/null +++ b/Server Zertifikate.md @@ -0,0 +1,31 @@ +# Server Zertifikate + +Momentan existiert für alle Services nur ein Key (`ca.key`) und ein Zertifikat (`ca.crt`). +Für die einzelnen Services existiert jeweils ein Link (symbolisch) auf das Zertifikat bzw. den Key, den der Service benutzen soll, +beispielsweise `apache.key` -> `ca.key`. + +## Neues Zertifikat ausstellen lassen + +1. Erstellen der Request-Konfiguration `req.conf`, mit allen Domains, die zertifiziert sein sollen. +2. Generieren des `ca.csr`: `openssl req -new -out ca.csr -key /etc/ssl/private/ca.key -config req.conf`. +3. In `/etc/apache2/sites-available` sicherstellen, dass alle Domains auf Port 80 auf den selben `DocumentRoot` verweisen, + eventuelle `Redirect`-Einstellungen auskommentieren. +4. Reload von Apache: `systemctl reload apache2`. +5. Erteilen des Zertifikates (`Lets Encrypt`): `certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr`. +6. Zertifikat an die richtige Stelle verschieben: `mv 0001_chain.pem /etc/ssl/certs/ca.crt`. +7. Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt: `rm 000*`. +8. In `/etc/apache2/sites-available` eventuelle Vorkonfiguration wiederherstellen. +9. Reload von Apache: `systemctl reload apache2`. + +## Zertifikat erneuern + +Annahme: `ca.csr` existiert schon im aktuellen Verzeichnis. + +1. In `/etc/apache2/sites-available` sicherstellen, dass alle Domains auf Port 80 auf den selben `DocumentRoot` verweisen, + eventuelle `Redirect`-Einstellungen auskommentieren. +2. Reload von Apache: `systemctl reload apache2`. +3. Erteilen des Zertifikates (`Lets Encrypt`): `certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr`. +4. Zertifikat an die richtige Stelle verschieben: `mv 0001_chain.pem /etc/ssl/certs/ca.crt`. +5. Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt: `rm 000*`. +6. In `/etc/apache2/sites-available` eventuelle Vorkonfiguration wiederherstellen. +7. Reload von Apache: `systemctl reload apache2`.
\ No newline at end of file |