Let's Encrypt

• Geschikt voor:
  Versie:	14.04 LTS, 16.04 LTS
  Inhoud Let's Encrypt Voorwaarden Git Installeren Apache Optioneel Wijzigingen Wijzigingen ongedaan maken Verlengen Automatisch verlengen Update Meer informatie Engelstalig

Een webserver kan verbindingen versleutelen met behulp van een (https) certificaat.

Bijvoorbeeld met een zogenaamd zelf-ondertekend (self-signed) certificaat maar dit geeft een foutmelding in de browser en het is (zeker voor een ander) niet duidelijk of er een veilige verbinding is.

Beter is het certificaat te laten tekenen door een derde partij op basis van de dns-naam. Er zijn vele leveranciers waar je een ondertekend certificaat kan aanvragen (aanschaffen) met een CSR (Certificate Signing Request). Met de komst van Let’s Encrypt kan dit sinds eind 2015 geheel automatisch en gratis!

Voorwaarden

• De webserver moet bereikbaar via een dns-naam.

Git

Er wordt gebruik gemaakt van git. Als git nog niet is geïnstalleerd kan dit vooraf:

sudo apt update
sudo apt install git 

Installeren

De Let’s Encrypt software installeren:

sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
cd /opt/letsencrypt
./letsencrypt-auto --help

Apache

Om een certificaat aan te vragen voor een standaard Apache configuratie:

./letsencrypt-auto --apache 

• Dit gebruikt sudo.
• Als de webserver niet is geconfigureerd met een hostnaam wordt gevraagd deze in te typen.

Het script zorgt geheel automatisch voor het aanvragen van een certificaat en past de apache configuratie aan.

De webserver is nu te bereiken met https.

Optioneel

Wijzigingen

Om te zien welke configuratie wijzigingen door letsencrypt-auto zijn gemaakt:

./letsencrypt-auto config_changes

Wijzigingen ongedaan maken

Om de letsencrypt-auto configuratie wijzigingen ongedaan te maken:

./letsencrypt-auto rollback

Verlengen

Certificaten van Let’s Encrypt zijn 3 maanden geldig. Daarna kan (gratis) een nieuw certificaat worden aangevraagd:

cd /opt/letsencrypt
./letsencrypt-auto renew

Automatisch verlengen

Het verlengen kan eventueel worden geautomatiseerd met crontab:

sudo crontab -e

Neem de volgende regel om op de eerste dag van iedere twee maanden om half 4 een nieuw certificaat aan te vragen:

• 30 3 1 */2 * /opt/letsencrypt/letsencrypt-auto renew >> /var/log/le-renew.log

• Kies zelf een gewenste dag en tijdstip (man crontab)

Update

Als er een nieuwe versies is van de Let's Encrypt software kan deze via git worden bijgewerkt:

cd /opt/letsencrypt
sudo git pull

Meer informatie

Meer informatie over dit onderwerp:

Engelstalig

• https://letsencrypt.org/getting-started/

• https://letsencrypt.readthedocs.org/en/latest/using.html

• https://en.wikipedia.org/wiki/Let's_Encrypt

---

CategoryNetwerkenEnServers