From 348cf45da5d2af38188d07ef4a47e26c00502c78 Mon Sep 17 00:00:00 2001
From: Leonard Kugis <leonard@kug.is>
Date: Sun, 7 Apr 2024 16:04:44 +0200
Subject: Added Server Zertifikate

---
 Server Zertifikate.md | 31 +++++++++++++++++++++++++++++++
 1 file changed, 31 insertions(+)
 create mode 100644 Server Zertifikate.md

diff --git a/Server Zertifikate.md b/Server Zertifikate.md
new file mode 100644
index 0000000..aade833
--- /dev/null
+++ b/Server Zertifikate.md	
@@ -0,0 +1,31 @@
+# Server Zertifikate
+
+Momentan existiert für alle Services nur ein Key (`ca.key`) und ein Zertifikat (`ca.crt`).
+Für die einzelnen Services existiert jeweils ein Link (symbolisch) auf das Zertifikat bzw. den Key, den der Service benutzen soll,
+beispielsweise `apache.key` -> `ca.key`.
+
+## Neues Zertifikat ausstellen lassen
+
+1. Erstellen der Request-Konfiguration `req.conf`, mit allen Domains, die zertifiziert sein sollen.
+2. Generieren des `ca.csr`: `openssl req -new -out ca.csr -key /etc/ssl/private/ca.key -config req.conf`.
+3. In `/etc/apache2/sites-available` sicherstellen, dass alle Domains auf Port 80 auf den selben `DocumentRoot` verweisen,
+    eventuelle `Redirect`-Einstellungen auskommentieren.
+4. Reload von Apache: `systemctl reload apache2`.
+5. Erteilen des Zertifikates (`Lets Encrypt`): `certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr`.
+6. Zertifikat an die richtige Stelle verschieben: `mv 0001_chain.pem /etc/ssl/certs/ca.crt`.
+7. Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt: `rm 000*`.
+8. In `/etc/apache2/sites-available` eventuelle Vorkonfiguration wiederherstellen.
+9. Reload von Apache: `systemctl reload apache2`.
+
+## Zertifikat erneuern
+
+Annahme: `ca.csr` existiert schon im aktuellen Verzeichnis.
+
+1. In `/etc/apache2/sites-available` sicherstellen, dass alle Domains auf Port 80 auf den selben `DocumentRoot` verweisen,
+    eventuelle `Redirect`-Einstellungen auskommentieren.
+2. Reload von Apache: `systemctl reload apache2`.
+3. Erteilen des Zertifikates (`Lets Encrypt`): `certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr`.
+4. Zertifikat an die richtige Stelle verschieben: `mv 0001_chain.pem /etc/ssl/certs/ca.crt`.
+5. Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt: `rm 000*`.
+6. In `/etc/apache2/sites-available` eventuelle Vorkonfiguration wiederherstellen.
+7. Reload von Apache: `systemctl reload apache2`.
\ No newline at end of file
-- 
cgit v1.2.1