Server Zertifikate

Momentan existiert für alle Services nur ein Key (ca.key) und ein Zertifikat (ca.crt). Für die einzelnen Services existiert jeweils ein Link (symbolisch) auf das Zertifikat bzw. den Key, den der Service benutzen soll, beispielsweise apache.key -> ca.key.

Neues Zertifikat ausstellen lassen

1. Erstellen der Request-Konfiguration req.conf, mit allen Domains, die zertifiziert sein sollen.
2. Generieren des ca.csr: openssl req -new -out ca.csr -key /etc/ssl/private/ca.key -config req.conf.
3. In /etc/apache2/sites-available sicherstellen, dass alle Domains auf Port 80 auf den selben DocumentRoot verweisen, eventuelle Redirect-Einstellungen auskommentieren.
4. Reload von Apache: systemctl reload apache2.
5. Erteilen des Zertifikates (Lets Encrypt): certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr.
6. Zertifikat an die richtige Stelle verschieben: mv 0001_chain.pem /etc/ssl/certs/ca.crt.
7. Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt: rm 000*.
8. In /etc/apache2/sites-available eventuelle Vorkonfiguration wiederherstellen.
9. Reload von Apache: systemctl reload apache2.

Zertifikat erneuern

Annahme: ca.csr existiert schon im aktuellen Verzeichnis.

1. In /etc/apache2/sites-available sicherstellen, dass alle Domains auf Port 80 auf den selben DocumentRoot verweisen, eventuelle Redirect-Einstellungen auskommentieren.
2. Reload von Apache: systemctl reload apache2.
3. Erteilen des Zertifikates (Lets Encrypt): certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr.
4. Zertifikat an die richtige Stelle verschieben: mv 0001_chain.pem /etc/ssl/certs/ca.crt.
5. Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt: rm 000*.
6. In /etc/apache2/sites-available eventuelle Vorkonfiguration wiederherstellen.
7. Reload von Apache: systemctl reload apache2.