[25] Certyfikat SSL – Let’s Encrypt

30 lipca 2020 Wyłączono przez Adam [zicherka] Nogły

Utworzymy, pobierzemy i zainstalujemy certyfikat SSL z Let’s Encrypt, ktory świadczy usługi certyfikatów za darmo.

Więcej informacji dowiesz się ze strony => https://letsencrypt.org/

Musisz pamiętać o tym, że ten certyfikat jest ważny 90 dni. Później musisz go odnowić!

[1] Zainstalujemy teraz klienta Certbot, ktory to pobierze certyfikat od Let’s Encrypt.

[root@lsr01vm ~]# dnf module -y install python36

[root@lsr01vm ~]# dnf -y install gcc mod_ssl python3-virtualenv redhat-rpm-config augeas-libs libffi-devel openssl-devel

[root@lsr01vm ~]# curl -O https://dl.eff.org/certbot-auto
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 79656 100 79656 0 0 173k 0 --:--:-- --:--:-- --:--:-- 173k

[root@lsr01vm ~]# mv certbot-auto /usr/local/bin/

[root@lsr01vm ~]# chmod 700 /usr/local/bin/certbot-auto

[2] Pobieramy certyfikat.

Ten krok wymaga zainstalowanego i działającego serwera WWW, jak na przykład Apache lub Nginx. Jeżeli nie posiadasz pracującego serwera przejdź do [3] sekcji. Dodatkowo potrzebny jest dostęp z Internetu do tego serwera na porcie 80 – jest to wymagane do weryfikacji certyfikatu przez Let’s Encrypt.

# opcja [--webroot] używa katalogu webroot na serwerze jako tymczasowego katalogu roboczego
# -w [document root] -d [FQDN dla którego chcesz certyfikat]
# FQDN (Fully Qualified Domain Name): host.domena
# jeśli chcesz pobrać certyfikat dla dwuch FQDN:
# [zicher.lab] oraz [lsr01vm.zicher.lab]
# -d zicher.lab -d lsr01vm.zicher.lab

[root@lsr01vm ~]# certbot-auto certonly --webroot -w  /var/www/html -d lsr01vm.zicher.lab

Bootstrapping dependencies for RedHat-based OSes that will use Python3... (you can skip this with --no-bootstrap)
dnf is /usr/bin/dnf
dnf is hashed (/usr/bin/dnf)
...
...
# for only initial using, register your email address and agree to terms of use
# specify valid email address
Enter email address (used for urgent renewal and security notices)
(Enter 'c' to cancel): root@mail.zicher.lab
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
# agree to the terms of use
(A)gree/(C)ancel: A
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for lsr01vm.zicher.lab
Using the webroot path /var/www/html for all unmatched domains.
Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/lsr01vm.zicher.lab/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/lsr01vm.zicher.lab/privkey.pem
Your cert will expire on 2020-10-22. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

# wszystko OK jeśli wyświetliło się: Congratulations!
# certyfikat zainstalowany jest w  katalogu [/etc/letsencrypt/live/(FQDN)/]

# cert.pem => certyfikat SSL serwera (zawiera klucz publiczny)
# chain.pem => certyfikat pośredni
# fullchain.pem => połączony plik cert.pem i chain.pem
# privkey.pem => plik klucza prywatnego

[3] Jeżeli nie posiadasz uruchomionego serwera web, również możliwe jest pobranie certyfikatu z użyciem Certbot’a. Jednak musisz mieć połączenie z Internetem, oraz musi być udostępniona komunikacja na porcie 80 – to w celu weryfikacji z Let’s Encrypt.

# dla opcji [--standalone], użyj Certbot'a dla opcji serwera Web
# -d [FQDN dla którego chcesz pobrać certyfikat]
# FQDN (Fully Qualified Domain Name) : NazwaHosta.NazwaDomeny
# jeżeli chcesz pobrać certyfikat dla 2 lub więcej FQDN'ów wpisz jak poniżej
# przykładowo : jeżeli chcesz pobrać certyfikaty dla [zicher.lab] i [lsr02vm.zicher.lab] => -d zicher.lab -d lsr01.zicher.lab

[root@lsr01vm ~]# certbot-auto certonly --standalone -d lsr01vm.zicher.lab
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Obtaining a new certificate

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/lsr01vm.zicher.lab/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/lsr01vm.zicher.lab/privkey.pem
Your cert will expire on 2020-10-28. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

[4] Aby odświerzyć certyfikat (wygasa po 90 dniach) wykonaj.

# zaktualizuj wszystkie certyfikaty, których ważność jest krótsza niż 30 dni

# jeśli chcesz zaktualizować certyfikaty, których ważność jest dłuższa niż 30 dni, dodaj opcję [--force-renew]

[root@lsr01vm ~]# certbot-auto renew

[5]Jeśli chcesz przekształcić certyfikaty do formatu PKCS12 (PFX), który jest formatem Windows, zrób jak poniżej.

[root@lsr01vm ~]# openssl pkcs12 -export -in /etc/letsencrypt/live/lsr01vm.zicher.lab/fullchain.pem -inkey /etc/letsencrypt/live/lsr01vm.zicher.lab/privkey.pem -out zicherlab_for_iis.pfx
Enter Export Password: # ustaw hasło
Verifying - Enter Export Password: