DokuWiki

Uživatelské nástroje

Nástroje pro tento web

Historie:
private:poznamky:linux:letsencrypt

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revizePředchozí verze
Následující verze		Předchozí verze
private:poznamky:linux:letsencrypt [2021/09/25 11:18] – [Expirace ROOT certifikátu - DST Root CA X3] snemecprivate:poznamky:linux:letsencrypt [2023/07/29 12:35] (aktuální) – [Certifikační autorita Let‘s Encrypt] snemec
Řádek 1: Řádek 1:
 +====== Certifikační autorita Let‘s Encrypt ======
 +
 +**Problém s žadostí o certifikát**, skončil chybou, pomohla doinstalace **curl** 
 +
 +https://github.com/Neilpang/acme.sh\\
 +
 +https://www.zdrojak.cz/clanky/lets-encrypt-a-vase-weby/?utm_source=rss&utm_medium=rss&utm_campaign=lets-encrypt-a-vase-weby\\
 +https://www.zdrojak.cz/clanky/lets-encrypt-a-vase-weby/\\
 +http://www.root.cz/clanky/let-s-encrypt-v-praxi-jak-jsem-presel-na-https/\\
 +http://www.root.cz/clanky/acme-sh-snadna-cesta-k-certifikatu-od-let-s-encrypt/\\
 +**Cerifikáty pro IIS na Windows**\\
 +
 +Nově jen https://www.win-acme.com/
 +
 +https://github.com/win-acme/win-acme/releases/
 +
 +<del>https://weblog.west-wind.com/posts/2016/feb/22/using-lets-encrypt-with-iis-on-windows\\
 +https://github.com/Lone-Coder/letsencrypt-win-simple/wiki/Create-a-SAN-certificate-for-Microsoft-Exchange-2016,-2013-&-2010\\</del>
 +
 +
 +
 +===== Konfigurace Apache serveru =====
 +
 +
 +https://www.hukot.net/community/tutorials/nastaveni-let-s-encrypt-s-apache-serverem
 +
 +
 +
 +===== Správa certifikátů pomocí acme.sh skriptu =====
 +
 +Nově používám konfiguraci pro Apache
 +
 +==== Instalace ====
 +<code>
 +git clone https://github.com/Neilpang/acme.sh.git
 +cd ./acme.sh
 +./acme.sh --install
 +</code>
 +
 +Skrip lze stáhnout samostatně 
 +
 +  wget -O -  https://get.acme.sh | sh
 +  
 +Pokud se příkaz ''acme.sh'' spustí s paramatrem ''--install'', vytvoří adresářovou strukturu a založí uživatele **letsencrypt**.\\  
 +Dále nastavít úlohu v cronu.
 +
 +
 +==== Žádost o certifikát ====
 +
 +=== Singledomain pomocí webroot složky ===
 +
 +
 +
 +<code>
 +root@debian:~/.acme.sh# ./acme.sh --issue -d wp.emcc.cz  -w /home/letsencrypt/webroot/ -d wp.emcc.cz
 +[Wed Oct 19 14:07:02 CEST 2016] Registering account
 +[Wed Oct 19 14:07:03 CEST 2016] Already registered
 +[Wed Oct 19 14:07:05 CEST 2016] Update success.
 +[Wed Oct 19 14:07:05 CEST 2016] Creating domain key
 +[Wed Oct 19 14:07:05 CEST 2016] Multi domain='DNS:wp.emcc.cz'
 +[Wed Oct 19 14:07:05 CEST 2016] Verify each domain
 +[Wed Oct 19 14:07:05 CEST 2016] Getting webroot for domain='wp.emcc.cz'
 +[Wed Oct 19 14:07:05 CEST 2016] _w='/home/letsencrypt/webroot/'
 +[Wed Oct 19 14:07:05 CEST 2016] Getting new-authz for domain='wp.emcc.cz'
 +[Wed Oct 19 14:07:06 CEST 2016] Getting webroot for domain='wp.emcc.cz'
 +[Wed Oct 19 14:07:06 CEST 2016] _w='/home/letsencrypt/webroot/'
 +[Wed Oct 19 14:07:06 CEST 2016] Getting new-authz for domain='wp.emcc.cz'
 +[Wed Oct 19 14:07:07 CEST 2016] Verifying:wp.emcc.cz
 +[Wed Oct 19 14:07:13 CEST 2016] Success
 +[Wed Oct 19 14:07:13 CEST 2016] Verifying:wp.emcc.cz
 +[Wed Oct 19 14:07:20 CEST 2016] Success
 +[Wed Oct 19 14:07:20 CEST 2016] Verify finished, start to sign.
 +[Wed Oct 19 14:07:22 CEST 2016] Cert success.
 +-----BEGIN CERTIFICATE-----
 +MIIE+DCCA+CgAwIBAgISA4v016MFsZI1SOAnZbrivVrQMA0GCSqGSIb3DQEBCwUA
 +.
 +.
 +.
 +4jU122EVpg9S3u4WQn2HTbwIZ12iplIcZiUpPZSb3rVzuZC3p3ZF234icqaSC4/K
 +CniaOfThxEL2Yw2HQik1JGCP9vwTRNqN2/E5J/fpxzqD1b7kj5S1oOkNjLzP/6wi
 +wzvfNAFI8d1XzuqayMtrPWEhXXDy6NvHG1Bcpg==
 +-----END CERTIFICATE-----
 +[Wed Oct 19 14:07:22 CEST 2016] Your cert is in  /root/.acme.sh/wp.emcc.cz/wp.emcc.cz.cer
 +[Wed Oct 19 14:07:22 CEST 2016] Your cert key is in  /root/.acme.sh/wp.emcc.cz/wp.emcc.cz.key
 +[Wed Oct 19 14:07:22 CEST 2016] The intermediate CA cert is in  /root/.acme.sh/wp.emcc.cz/ca.cer
 +[Wed Oct 19 14:07:22 CEST 2016] And the full chain certs is there:  /root/.acme.sh/wp.emcc.cz/fullchain.cer
 +</code>
 +
 +=== Multidomain pomocí webroot složky ===
 +
 +  ./acme.sh --issue -d jira.hpl.cz -d jira.griffteam.com -d jira.griffteam.cz -w /home/letsencrypt/webroot/
 +  
 +  ./acme.sh --issue -d steel-meat.com -d www.steel-meat.com -w /home/letsencrypt/webroot/
 +  
 +=== Obnova certifikátu ===
 +
 +  acme.sh --renew -d confluence.hpl.cz --force  
 +  
 +==== Aktualizace z v1.api na v2.api ====
 +
 +Aktualizace byla provedena na serverech Jira, Bamboo, Bitbucket a Confluence - všechny servery jsou nainstalované jako LXC kontejnery na PROXMOX. OS Debian 8.\\
 +LE přešel od května 2021 na apv v2. Na serverech přestala fungovat automatická aktualizace certifikátů.
 +
 +Na serverech jsem provedl zálohu složky ''/root/.acme.sh'' na ''/root/.acme.sh.v1'', nainstalovalk jsem aktuální verzi skriptu ''acme.sh''\\
 +
 +<code>
 +#Instalace do složky -root-.acme.sh
 +wget -O -  https://get.acme.sh | sh
 +
 +#Aktualizace 
 +acme.sh --upgrade
 +</code>
 +
 +Nainstaloval jsem znovu certifikáty
 +
 +<code>
 +/root/.acme.sh/acme.sh --issue -d bamboo.hpl.cz -d bamboo.tool4dev.com -w /home/letsencrypt/webroot/ --force --server letsencrypt
 +</code>
 +
 +Skript ''acme.sh'' se musí spustit s parametrem ''--server letsencrypt'' - [[https://github.com/acmesh-official/acme.sh|acme.sh]] defaultně podporuje vydavatele ZeroSSL.com CA.
 +
 +Po instalaci certifikátů je potřeba překopírovat certifikáty na reverzní proxy - Mail GW a restartovat Apache server lokální i na Mail GW - použít skript ''sync_cert''
 +
 +
 +
 +
 +  
 + ===== Zjištění datumu expirace certifikátu =====
 + 
 +<code>
 +echo | openssl s_client -servername confluence.tool4dev.com -connect confluence.tool4dev.com:443 2>/dev/null | openssl x509 -enddate -noout  
 +</code>
 +
 +<WRAP center round todo 80%>
 +Jak setřídit txt soubor podle data expirace?
 +https://unix.stackexchange.com/questions/535611/how-does-one-sort-dates-in-a-text-file
 +</WRAP>
 +
 +===== Expirace ROOT certifikátu - DST Root CA X3 =====
 +
 +=== Ověření pomocí stránky ===
 +https://www.ssllabs.com/ssltest
 +
 +nebo ověřit pomocí programu ''openssl''
 +<code>
 +openssl s_client -connect mail.griffteam.com:443 -showcerts </dev/null|certtool -i|less
 +</code>
 +
 +
 +=== Root certifikáty Lets Encrypt ===
 +https://letsencrypt.org/certificates/
 +
 +Po instalaci ROOT certifikátů je nutné vygenerovat nový certifikát
 +
 +<code>
 +C:\Data\Utils\LetsEncrypt\win-acme-2.1.7\wacs.exe --renew --force --baseuri "https://acme-v02.api.letsencrypt.org/"
 +</code>
 +
 +
 +==== Postup aktualizace na nový ROOT cert pro Windows servery ====
 +
 +https://github.com/win-acme/win-acme/issues/1918
 +
 +==== Postup aktualizace na nový ROOT cert pro Linux - Debian servery ====
 +
 +Editovat soubor ''/etc/ca-certificates.conf'', zakomentovat vykřičníkem řádek ''mozilla/DST_Ro­ot_CA_X3.crt''.\\
 +Výsledek pak vypadá následovně: ''!mozilla/DST_Ro­ot_CA_X3.crt''\\
 +
 +Po úpravě souboru spustit příkaz: ''update-ca-certificates''
 +
  
DokuWiki Appliance - Powered by TurnKey Linux