Mit dem relativ frischen Dienst „Let’s Encrypt“ lassen sich kostenlos SSL / TLS Zertifikate für den eigenen Server generieren. Nungut, das ist nichts neues. Die Art und Weise, wie dies geschieht jedoch schon. In dieser kleinen Anleitung möchte ich mit euch gemeins „Let’s Encrypt“ nutzen, um ein echte und vor allem vertrauenswürdige HTTPS-Verschlüsselung zu erstellen. warum also „Let’s Encrypt“? Und nicht andere Anbieter? Nun, das ist sicherlich eine Philosophiefrage, doch ein Blick in die Sponsorenliste von Let’s Encrypt verrät einen starken Background. Mozilla, Google, CISCO – um nur einige der größten zu nennen. Damit hat das ganze Projekt sehr viel potential und ist vor allem auch in den wichtigen Browsern vertreten.
Worum geht es? Es geht darum, dass durch diesen Service das Web mehr und mehr verschlüsselt übertragen wird, also mehr und mehr Serverbetreiber Zertifikate nutzen. SSL / TLS Zertifikate sind kostenpflichtig. Je nach Umfang (z.B. Wildcard-Domains) oder auch nach Authentifizierungsverfahren (z.B. nur per Admin-E-Mail) von zweistelligen Eurobeträgen, bis über mehrere einhundert Euro im Jahr. Umso interessanter sind die „Let’s Encrypt“-Zertifikate. Diese sollen zu alledem leicht zu installieren sein. Wer ein Zertifikat je bestellt hat, wird sich mit den üblichen Verfahren beschäftigt haben. Es muss sichergestellt werden, dass zum einen das Zertifikat auch nur von der richtigen Person ausgestellt wird, dann natürlich, dass das Zertifikat von einer anderen Stelle signiert wird. Dadurch wird sichergestellt, dass keine selbstsignierten Zertifikate, sogenannte self-signed certificates, einen Bruch in der Vertrauenskette erzeugen.
Gibt es einen Haken? Jain! Die Zertifikate sind per se nur 90 Tage gültig. Das ist natürlich eine Einschränkung, die wir gemeinsam mit diesem Tutorial automatisiert behandeln wollen – mittels einem scriptbasierten „autorenew“. Also das, was zum Neuerstellen der Zertifikate notwendig ist. Andernfalls sollte muss sichergestellt werden, dass das oder die Zertifikate spätestens vor Ablauf der 90 Tage erneuert werden.
Was will ich? Ich möchte meine Server-Konfiguration anpassen und die SSL Zertifikate einbinden lassen. Wie geschieht dies? Ganz einfach per letsencrypt-auto.
Als erstes verbinden wir uns als root mit unserem Server. Wer noch keinen git-Client installiert hat, tut dies via:
apt-get install git
Wir wollen unseren letsencrypt-Client in /opt installieren, da dort alle übrigen, manuell installierten Programme zuzuordnen sind.
cd /opt
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
Zu Beginn wollen wir unser Zertifikat für die Seite „domain.tld“ automatisch generieren lassen, um uns mit dem Ablauf vertraut zu machen. Ganz einfach – und das wollen wir zunächst machen – per Automatismus. Dazu führen wir nun folgendes aus:
./letsencrypt-auto --apacheEs öffnet sich ein Konfigurationsassistent, der uns eine Auswahl an Domains liefert, die auf unserem System aktiv sind. Ich wähle alle aus, die ich mit einem SSL-ausstatten möchte.
Updating letsencrypt and virtual environment dependencies......
Anschließend sind erstmalig (und einmalig) die AGBs zu akzeptieren. Das Tool loggt nun eure Server-IP, die den Request ausführt.
Nach der automatisierten Konfiguration könnt ihr eure Domain unter https://www.ssllabs.com/ssltest/analyze.html?d=domain.tld testen.
