!!!PJAC - Porunov Java ACME Client

Mittlerweile gibt es eine große Auswahl an Bots für das ACME Protokoll, mit dem man (zum Beispiel bei LetsEncrypt) TLS Zertifikate signieren lassen kann. Als Java-Entwickler hatte ich auf Basis der Bibliothek ACME4j  meine eigene Lösung gebaut, die aber nur mit allen Versionen der Bibliothek und alten Versionen des ACME Protokolls arbeitet.

Aus der Basis ACME4j gibt es auch einen fertigen ACME Client: PJAC, den ''Porunov Java ACME Client''.

!!1 Account bei Letsencrpt

Wenn man Zertifikate signieren will, benötigt man einen Account bei Anbieter. Die Authetifizierung erfolgt über einen Public Key, den wir in diesem Schritt erzeuge und nutzen.

!1.1 Key erzeugen

{{{
openssl genrsa -out $HOME/pjac/account.key 2048
}}}

!1.2 Account registrieren

{{{
java -jar acme_client.jar --log-dir $HOME/pjac --command register --account-key $HOME/pjac/account.key \\
  --with-agreement-update --email webmaster@example.com
}}}

!!2 Zertifikat ausstellen

!2.1 Zertifikat Request erzeugen

{{{
openssl req -newkey rsa:2048 -days 370 -nodes -sha256 -out example.com.csr -keyout example.com.key
}}}

[OpenSSL] stellt einige Rückfragen nach Land, Ort und der Organisationseinheit. Wichtig ist, dass wir bei der Frage nach dem ''Common Name'' unsere Domain für das Zertifikat angeben! Im Beispiel ist das ''example.com''.

!2.2 Zertifikat beantragen

{{{
java -jar acme_client.jar --log-dir $HOME/pjac --command order-certificate \\
    --account-key $HOME/pjac/account.key --work-dir $HOME/pjac --csr example.com.csr \\
    --well-known-dir /var/www/example.com/.well-known/acme-challenge --one-dir-for-well-known
}}}

Schreibrechte unter ''/var/www/wolke.jalin.de/.well-known/acme-challenge/'' vorausgesetzt.

!2.3 Die Challenge

{{{
java -jar acme_client.jar --log-dir $HOME/pjac --command verify-domains \\ 
    --account-key $HOME/pjac/account.key --work-dir $HOME/pjac --csr example.com.csr 
}}}

!2.4 Download des Zertifikats

{{{
java -jar acme_client.jar --log-dir $HOME/pjac --command generate-certificate \\
    --account-key $HOME/pjac/account.key --work-dir $HOME/pjac --csr example.com.csr \\
    --cert-dir /etc/nginx/...
}}}

Die Option ''--cert-dir'' zeigt auf den Pfad, in den das Zertifikat und die Zertifikats-Chain gespeichert werden. Wir benötigen Schreibrechte.

Die Namen der Download-Dateien sind:
* cert.pem
* chain.pem
* fullchain.pem

Diese Zertifikate werden mit dem Key (''example.com.key'') in die Konfiguration des Webservers eingebunden.

!!Links

*[PJAC - Porunov Java ACME Client|https://github.com/porunov/acme_client]
*[ACME4j Java ACME library|https://github.com/shred/acme4j]