Serverzertifikate sind jetzt nur noch 100 Tage gültig. Die Gültigkeitsdauer wird sich weiter verkürzen. Es lohnt sich also, die Erneuerung der Zertifikate automatisch ablaufen zu lassen.
Harica unterstützt die automatische Zertifikatsausstellung mit einer ACME-Schnittstelle.
Voraussetzung dafür ist, dass der Administrator über einen ACME-Account bei Harica verfügt. Dieser kann im ITM erstellt werden ()
Certbot
Konfiguration
Die Konfiguration erfolgt in einer Datei (standardmäßig /etc/letsencrypt/cli.ini), in welche wichtige Paramter festgelegt werden können, die dann nicht mehr an der Kommandozeile angegeben werden müssen. Ein Beispiel:
| Codeblock |
|---|
# Use ECC for the private key
key-type = ecdsa
elliptic-curve = secp384r1
# Use a 4096 bit RSA key instead of 2048
rsa-key-size = 4096
# wich authenticator to use? apache / nginx / webroot / standalone
authenticator = standalone
# agree to Terms of Service of the Harica-ACME-Server
agree-tos = true
# contact-Data of administrator
email = admin.name@h2.de
# ACME-Server
server = https://acme-v02.harica.gr/acme/id-of-the-service/directory
eab-kid = keyidofadminwithoutquotes
eab-hmac-key = hmac-keyofadminwithoutquotes
|
Wird ein anderer authenticator als standalone gewählt, dann kann für den entsprechenden Webserver die Zertifikatsausstellung und verarbeitung (Eintragen in Webserverkonfiguration) automatisiert werden. Voraussetzung dafür ist, dass das Webserverkonfigurationsverzeichnis für den Aufrufer von certbot beschreibbar ist. Die erforderlichen Daten für den ACME Server werden mit dem entsprechenden Account bereitgestellt.
Erstes Ausstellen eines Serverzertifikates