{Let's Encrypt|https://letsencrypt.org] ist eine Organisation, die kostenlose SSL-Zertifikate herausgibt. Diese Zertifikate werdeen von allen normalen Browsern und Betriebssystemen inzwischen anerkannt. Dadurch ist es möglich, einfach und preiswert grosse Teile des Internets sicher zu verschlüsseln.

Grundsätzlich arbeitet Let's Enrypt vollautomatisch, ohne dabei die Sicherheit zu gefährden. Um das zu erreichen, sind Zertifikate immer nur 90 Tage gültig. Eine automatische Software (z.B. certbot) muss diese regelmässig erneuern.

Um zu beweisen, das man Besitzer der Domain ist, um die es geht (also um sich zu authentifizieren), muss der Anwender (also am besten, aber nicht zwingend, dessen Software) eine sogenannte Challenge bestehen. Das kann z.B. sein, das man eine Datei mit einem bestimmten Namen und Inhalt auf einen Webserver schiebt um zu beweisen, das man diesen Webserver "besitzt".

Man kann auch wildcard-Zertifikate (also sowas wie *.lug-kr.de) erhalten. Dazu muss man allerdings eine Nameserver-Challenge bestehen (also einen Eintrag in die Nameserver-Konfiguration schieben können).

certbot #

Unter Linux benutzt man, um ein SSL-Zertifikat zu bekommen, das Programm certbot. Es arbeitet mit Plugins für verschiedene Arten der Authentifizierung.

Beispiel #

Als ein etwas komplizierteres Beispiel möchte ich ein Zertifikat für eine Subdomain haben, die ich bei Domainfactory gehostet habe. Diese unterstützen ledier keinerlei Automatisierung.

Als Vorbereitung habe ich dort einen Webspace eingerichtet und einen ftp-Zugang, mit dem ich diese erreichen kann. Die ftp-Zugangsdaten habe ich in ~/.nettrdc gespeichert (siehe man netrc) und dann erstmal

This particular version was published on 04-Jan-2021 15:50 by ThomasBayen.  Top