Let's Encrypt
Sissejuhatus
Lets encrypt on teenus mis pakub tasuta popup-free sertifikaate. See loodi 2016 ning selle taga on ettevõtted nagu Akamai, Cisco, Mozilla ning mitmed sõltumatud eraisikud.
Let's Encrypt kasutab oma tööks ACME ehk Automatic Certificate Management Environment protokolli, mille abil saab tellida sertifikaate täisautomaatselt. Selle töö näeb välja umbkaudu järgnev
- . Tarkvara genereerib võtme ja sertifikaadipäringu
- . Sertifikaadipäring allkirjastatakse ja saadetakse lets encrypt API-le
- . Lets encrypt server teeb valideerimise päringu domeeni vastu, millele sertifikaati taodeldakse, kus ta kontrollib http://domeen.ee/.well-known/acme-challenge/{token} olemasolu ja vastavust
- . Sertifikaadid genereeritakse ja laetakse automaatselt letsencrypti juurest alla serverisse
Sertifikaadid kehtivad vaid 90 päeva.
Veebiserveri ettevalmistus
Nagu ülal kirjutatud siis vajab letsencrypt võimalust valideerida kasutaja õigust domeenile. Selleks tuleb veebiserverisse seadistada ligipääs letsencrypti genereeritud tokenile-
Nginxi korral tuleb tekitada järgnev konstruktsioon
location /.well-known/acme-challenge/ {
root /var/www/certbot;
}
Edasi tuleb meil kasutada mõnd lets encrypti klienti, näiteks certboti või acmet, ja registreerida endale domeenile vastav sertifikaat
certbot
Acme skript
Tõmbame vajaliku skripti alla ja paneme käima
curl https://get.acme.sh | sh
See paigaldab ka croni töö mis tegeleb sertifikaatide uuendamisega.
Küsime endale sertifikaadi
acme.sh --issue -d test.org -w /var/www/certbot
Keerukamad kasutusjuhud. Nt dockeri puhul võime ka täpselt ette anda sertifikaatide asukohad ja käsu dockeri sees nginxi restardiks
acme.sh --install-cert -d test.org \ --cert-file /apps/myapp/certs/cert.pem \ --key-file /apps/myapp/certs/key.pem \ --reloadcmd "docker-compose -f /apps/myapp/docker-compose.yml exec wen nginx -t reload"
Wildcard domeeni jaoks sertifikaadi tekitamiseks
acme.sh --issue -d example.com -d '*.example.com' --dns dns_cf
