[25] Certyfikat SSL – Let’s Encrypt
30 lipca 2020Utworzymy, pobierzemy i zainstalujemy certyfikat SSL z Let’s Encrypt, ktory świadczy usługi certyfikatów za darmo.
Więcej informacji dowiesz się ze strony => https://letsencrypt.org/
Musisz pamiętać o tym, że ten certyfikat jest ważny 90 dni. Później musisz go odnowić!
[1] Zainstalujemy teraz klienta Certbot, ktory to pobierze certyfikat od Let’s Encrypt.
[root@lsr01vm ~]# dnf module -y install python36 [root@lsr01vm ~]# dnf -y install gcc mod_ssl python3-virtualenv redhat-rpm-config augeas-libs libffi-devel openssl-devel [root@lsr01vm ~]# curl -O https://dl.eff.org/certbot-auto % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 79656 100 79656 0 0 173k 0 --:--:-- --:--:-- --:--:-- 173k [root@lsr01vm ~]# mv certbot-auto /usr/local/bin/ [root@lsr01vm ~]# chmod 700 /usr/local/bin/certbot-auto
[2] Pobieramy certyfikat.
Ten krok wymaga zainstalowanego i działającego serwera WWW, jak na przykład Apache lub Nginx. Jeżeli nie posiadasz pracującego serwera przejdź do [3] sekcji. Dodatkowo potrzebny jest dostęp z Internetu do tego serwera na porcie 80 – jest to wymagane do weryfikacji certyfikatu przez Let’s Encrypt.
# opcja [--webroot] używa katalogu webroot na serwerze jako tymczasowego katalogu roboczego # -w [document root] -d [FQDN dla którego chcesz certyfikat] # FQDN (Fully Qualified Domain Name): host.domena # jeśli chcesz pobrać certyfikat dla dwuch FQDN: # [zicher.lab] oraz [lsr01vm.zicher.lab] # -d zicher.lab -d lsr01vm.zicher.lab [root@lsr01vm ~]# certbot-auto certonly --webroot -w /var/www/html -d lsr01vm.zicher.lab Bootstrapping dependencies for RedHat-based OSes that will use Python3... (you can skip this with --no-bootstrap) dnf is /usr/bin/dnf dnf is hashed (/usr/bin/dnf) ... ... # for only initial using, register your email address and agree to terms of use # specify valid email address Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): root@mail.zicher.lab - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v02.api.letsencrypt.org/directory - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - # agree to the terms of use (A)gree/(C)ancel: A - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Y Obtaining a new certificate Performing the following challenges: http-01 challenge for lsr01vm.zicher.lab Using the webroot path /var/www/html for all unmatched domains. Waiting for verification... Cleaning up challenges IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/lsr01vm.zicher.lab/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/lsr01vm.zicher.lab/privkey.pem Your cert will expire on 2020-10-22. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le # wszystko OK jeśli wyświetliło się: Congratulations! # certyfikat zainstalowany jest w katalogu [/etc/letsencrypt/live/(FQDN)/] # cert.pem => certyfikat SSL serwera (zawiera klucz publiczny) # chain.pem => certyfikat pośredni # fullchain.pem => połączony plik cert.pem i chain.pem # privkey.pem => plik klucza prywatnego
[3] Jeżeli nie posiadasz uruchomionego serwera web, również możliwe jest pobranie certyfikatu z użyciem Certbot’a. Jednak musisz mieć połączenie z Internetem, oraz musi być udostępniona komunikacja na porcie 80 – to w celu weryfikacji z Let’s Encrypt.
# dla opcji [--standalone], użyj Certbot'a dla opcji serwera Web # -d [FQDN dla którego chcesz pobrać certyfikat] # FQDN (Fully Qualified Domain Name) : NazwaHosta.NazwaDomeny # jeżeli chcesz pobrać certyfikat dla 2 lub więcej FQDN'ów wpisz jak poniżej # przykładowo : jeżeli chcesz pobrać certyfikaty dla [zicher.lab] i [lsr02vm.zicher.lab] => -d zicher.lab -d lsr01.zicher.lab [root@lsr01vm ~]# certbot-auto certonly --standalone -d lsr01vm.zicher.lab Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator standalone, Installer None Obtaining a new certificate IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/lsr01vm.zicher.lab/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/lsr01vm.zicher.lab/privkey.pem Your cert will expire on 2020-10-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
[4] Aby odświerzyć certyfikat (wygasa po 90 dniach) wykonaj.
# zaktualizuj wszystkie certyfikaty, których ważność jest krótsza niż 30 dni # jeśli chcesz zaktualizować certyfikaty, których ważność jest dłuższa niż 30 dni, dodaj opcję [--force-renew] [root@lsr01vm ~]# certbot-auto renew
[5]Jeśli chcesz przekształcić certyfikaty do formatu PKCS12 (PFX), który jest formatem Windows, zrób jak poniżej.
[root@lsr01vm ~]# openssl pkcs12 -export -in /etc/letsencrypt/live/lsr01vm.zicher.lab/fullchain.pem -inkey /etc/letsencrypt/live/lsr01vm.zicher.lab/privkey.pem -out zicherlab_for_iis.pfx
Enter Export Password: # ustaw hasło
Verifying - Enter Export Password: