Linux/OpenSSL: Unterschied zwischen den Versionen
→Automatisch erneuern
Thomas (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Thomas (Diskussion | Beiträge) |
||
| (19 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 59: | Zeile 59: | ||
cat www.crt >>/etc/ssl/certs/imapd.pem | cat www.crt >>/etc/ssl/certs/imapd.pem | ||
chmod 600 /etc/ssl/certs/imapd.pem | chmod 600 /etc/ssl/certs/imapd.pem | ||
=Echtes Domain-validiertes Zertifikat mit Zwischenzertifikat= | |||
==Zertifikat-Request erstellen== | |||
openssl req -new -nodes -sha256 -keyout name.key -out name.csr -newkey rsa:2048 | |||
Die Fragen beantworten: | |||
Country Name (2 letter code) [AU]:DE | |||
State or Province Name (full name) [Some-State]:Bundesland | |||
Locality Name (eg, city) []:Ort | |||
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Private | |||
Organizational Unit Name (eg, section) []: | |||
Common Name (e.g. server FQDN or YOUR name) []:Domäne | |||
Email Address []:Mailadresse | |||
Kein Passwort eingeben. Mit dem '''name.csr''' online ein SSL-Zertifikat beantragen. | |||
==Zertifikat speichern== | |||
Nach der Erstellung bekommt man das Zertifikat und das Zwischenzertifikat normalerweise per E-Mail. Diese abspeichern unter: | |||
name.crt | |||
name.cabundle | |||
==Apache== | |||
'''name.key''', '''name.crt''' und '''name.cabundle''' kopieren nach '''/etc/apache2/ssl'''. | |||
'''/etc/apache2/vhosts.d/00_default_ssl_vhost.conf''': | |||
SSLCertificateFile /etc/apache2/ssl/name.crt | |||
SSLCertificateKeyFile /etc/apache2/ssl/name.key | |||
SSLCertificateChainFile /etc/apache2/ssl/name.cabundle | |||
==Postfix== | |||
cat name.crt name.cabundle >name.cer | |||
In der neuen Datei prüfen, dass '''BEGIN''' und '''END''' Markierungen jeweils in eigenen Zeilen sind. '''name.key''' und '''name.cer''' kopieren nach '''/etc/postfix'''. | |||
'''/etc/postfix/main.cf''': | |||
smtpd_tls_key_file = /etc/postfix/name.key | |||
smtpd_tls_cert_file = /etc/postfix/name.cer | |||
==VU+== | |||
cat name.crt name.cabundle >name.cer | |||
In der neuen Datei prüfen, dass '''BEGIN''' und '''END''' Markierungen jeweils in eigenen Zeilen sind. '''name.key''' und '''name.cer''' kopieren nach '''/etc/enigma2''' als '''key.pem''' und '''cert.pem'''. | |||
==uw-imap und Dovecot== | |||
cat name.key name.cer >imapd.pem | |||
'''imapd.pem''' kopieren nach '''/etc/ssl/certs'''. | |||
= Let's Encrypt = | |||
== Installieren == | |||
emerge app-crypt/certbot-apache | |||
== Zertifikat erstellen == | |||
Ohne Apache, Challenge über Port 80 von certbot: | |||
certbot certonly --standalone --preferred-challenges http -m meine@email.adresse -d domain.de | |||
== Postfix == | |||
'''/etc/postfix/main.cf:''' | |||
smtpd_tls_cert_file= /etc/letsencrypt/live/domain.de/fullchain.pem | |||
smtpd_tls_key_file= /etc/letsencrypt/live/domain.de/privkey.pem | |||
== Dovecot == | |||
'''/etc/dovecot/conf.d/10-ssl.conf:''' | |||
ssl = yes | |||
ssl_cert = </etc/letsencrypt/live/domain.de/fullchain.pem | |||
ssl_key = </etc/letsencrypt/live/domain.de/privkey.pem | |||
== Automatisch erneuern == | |||
'''/root/letsencrypt.sh:''' | |||
certbot renew | |||
postfix reload | |||
/etc/init.d/dovecot restart | |||
'''crontab -e''' | |||
@weekly /root/letsencrypt.sh | |||
= Verifizieren = | |||
== Webserver == | |||
openssl s_client -showcerts -connect server.de:443 -servername server.de | openssl x509 -noout -dates | |||
== SMTP == | |||
openssl s_client -starttls smtp -showcerts -connect server.de:587 | openssl x509 -noout -dates | |||
== IMAP == | |||
openssl s_client -showcerts -connect server.de:993 -servername server.de | openssl x509 -noout -dates | |||