Beiträge zu “letsencrypt”

Gitea Repository aus FreeBSD Jail clonen

Bei einem Gitea Server den ich nach dieser Beschreibung eingerichtet habe bin ich beim Versuch aus einem FreeNAS Jail ein Repo zu clonen auf diese Fehlermeldung gestoßen

git clone https://git2blog:git2blog@gitea.yourdomain.net/blogs/gitea-test.git
Klone nach 'gitea-test' ...
fatal: konnte nicht auf 'https://gitea.yourdomain.net/blogs/gitea-test.git/' zugreifen: server certificate verification failed. CAfile: none CRLfile: none

Anscheinend hat das Jail das Letsencrypt Certificate nicht. Es klappte besser wenn ich in der NGinx Konfiguration

ssl_certificate     "/usr/local/etc/letsencrypt/live/git.yourdoamin.net/cert.pem";

auf

ssl_certificate     "/usr/local/etc/letsencrypt/live/git.yourdoamin.net/chain.pem";

geändert habe

14.5.20
Weitere Beiträge zu: gitea   letsencrypt   FreeBSD   FreeNAS   Jails  

Google: Securing the web

Google dokumentiert in einem Report den Fortschritt bei der Einrichtung von Verschlüsselung auf den eigenen Diensten und gibt praktische Hilfe bei der Umsetzung von SSL/TLS auf Webservern

Implementing encryption is not easy work. But, as more people spend more of their time on the web, it’s an increasingly essential element of online security.

Lesenswert. Und dank der kostenlosen Zertifikate von Lets Encrypt gibt es auch keine Ausreden mehr Webseiten ohne Verschlüsselung anzubieten.

15.3.16
Weitere Beiträge zu: letsencrypt   Privacy  

Letsencrypt: Zertifikate erneuern

Letsencrypt stellt nur Zertifikate mit einer Laufzeit von 3 Monaten aus. “Normalerweise” wäre das echt ein Problem denn das Verlängern von Zertifikaten ist wirklich nicht Vergnügungssteuerpflichtig. Da letsencrypt aber die Verlängerung genauso einfach wie das Erstellen gestaltet ist das eigentlich kein Problem und lässt sich vermutlich sogar komplett automatisieren.

Auf jeden Fall bekommt man rechtzeitig eine Mail in der man über den Ablauf informiert wird

Hello, Your certificate (or certificates) for the names listed below will expire in 17 days (on 05 Mar 16 12:52 +0000). Please make sure to renew your certificate before then, or visitors to your website will encounter errors.

Das geht dann eigentlich ganz schnell

  ./letsencrypt-auto certonly -a webroot --agree-tos --renew-by-default --webroot-path=/var/www/public_html/ -d www.hagen-bauer.de -d hagen-bauer.de
  Updating letsencrypt and virtual environment dependencies.......
  Running with virtualenv: /root/.local/share/letsencrypt/bin/letsencrypt certonly -a webroot --agree-tos --renew-by-default --webroot-path=/var/www/public_html/ -d www.hagen-bauer.de -d hagen-bauer.de
 IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/www.hagen-bauer.de/fullchain.pem. Your cert
  will expire on 2016-05-17. To obtain a new version of the
  certificate in the future, simply run Let's Encrypt again.

und Webserver updaten

 /etc/init.d/nginx reload

Fertig ist die Laube

17.2.16
Weitere Beiträge zu: letsencrypt  

Letsencrypt geht eine öffentliche Beta

Seit heute ist Letsencrypt.org in eine öffentliche Betaphase übergegangen. Bisher konnte man nur mit langer Wartezeit eine einzelne Site beantragen.

Das Beantragen von Zertifikaten für SSL/TLS Verschlüsselung war in der Vergangenheit immer ein Quell großer Freude. Meist teuer und umständlich, selbst bei Startssl.com.

Dies könnte nun ein Ende haben. Als erstes habe ich eine bestehende Seite mit https auf Letsencrypt umgestellt (nein, nicht diese sonder eine kleiner Seite zum testen).

Und es ist granatenstark einfach. Hier die Schritte für eine bestehende Webseite:

 git clone https://github.com/letsencrypt/letsencrypt
 cd letsencrypt
 ./letsencrypt-auto 
 letsencrypt certonly --webroot -w /var/www/public_html/ -d www.seite.org -d seite.org 

Einfach Emailadresse angeben und fertig. Alle Dateien sind jetzt in

 /etc/letsencrypt/live/www.seite.org/

Und können jetzt einfach in die Apache Konfiguration eingebunden werden

  SSLCertificateFile /etc/letsencrypt/live/www.seite.org/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/www.seite.org/privkey.pem

Und Apache neu laden.

Fertig.

Wenn es hier keine Probleme gibt dann muss ich die Änderungen nur noch in meiner Ansible Konfiguration für diese und meine anderen Seiten nachziehen.

Achtung: Die Zertifikate gelten nur 3 Monate. Aber diesen einfachen Aufruf kann man gut in einen Cronjob einbinden

4.12.15
Weitere Beiträge zu: ssl   letsencrypt  

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License