path: root/Server Zertifikate.md

# Server Zertifikate

Momentan existiert für alle Services nur ein Key (`ca.key`) und ein Zertifikat (`ca.crt`).
Für die einzelnen Services existiert jeweils ein Link (symbolisch) auf das Zertifikat bzw. den Key, den der Service benutzen soll,
beispielsweise `apache.key` -> `ca.key`.

## Neues Zertifikat ausstellen lassen

1. Erstellen der Request-Konfiguration `req.conf`, mit allen Domains, die zertifiziert sein sollen.
2. Generieren des `ca.csr`: `openssl req -new -out ca.csr -key /etc/ssl/private/ca.key -config req.conf`.
3. In `/etc/apache2/sites-available` sicherstellen, dass alle Domains auf Port 80 auf den selben `DocumentRoot` verweisen,
    eventuelle `Redirect`-Einstellungen auskommentieren.
4. Reload von Apache: `systemctl reload apache2`.
5. Erteilen des Zertifikates (`Lets Encrypt`): `certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr`.
6. Zertifikat an die richtige Stelle verschieben: `mv 0001_chain.pem /etc/ssl/certs/ca.crt`.
7. Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt: `rm 000*`.
8. In `/etc/apache2/sites-available` eventuelle Vorkonfiguration wiederherstellen.
9. Reload von Apache: `systemctl reload apache2`.

## Zertifikat erneuern

Annahme: `ca.csr` existiert schon im aktuellen Verzeichnis.

1. In `/etc/apache2/sites-available` sicherstellen, dass alle Domains auf Port 80 auf den selben `DocumentRoot` verweisen,
    eventuelle `Redirect`-Einstellungen auskommentieren.
2. Reload von Apache: `systemctl reload apache2`.
3. Erteilen des Zertifikates (`Lets Encrypt`): `certbot certonly --rsa-key-size 4096 --webroot-path /var/www/html --csr ca.csr`.
4. Zertifikat an die richtige Stelle verschieben: `mv 0001_chain.pem /etc/ssl/certs/ca.crt`.
5. Andere, generierte Zertifikatsdateien löschen, damit es später zu keinen Verwirrungen kommt: `rm 000*`.
6. In `/etc/apache2/sites-available` eventuelle Vorkonfiguration wiederherstellen.
7. Reload von Apache: `systemctl reload apache2`.