25.08.2018

Let’s-Encrypt Zertifikat

MSOffice | Outlook
OpenOffice
LocoSoft
Backup Exec
Veeam Backup
BauSU
Datev
TurboMed
Diamant Software
ELO Office
Sage Software
ChartaCasa
Starmoney/ Starmoney Business
AVM Ken!
Profit Änderungen für W2K Server und Peer to Peer Installation
Installation von KWP
Acrobat Reader
Symantec AntiVirus und PC-Anywhere auf Win2003 Server
Knoppix
Kaspersky, F-Secure, ESET, Avira, McAfee
OpenVPN
NCP VPN Client
SSL
Nemetschek Allplan
ESTOS CTI
Benchmark Programme
Internet Browser
eMail Clients
Syncronisations Software
Allegro
WireShark
WinPcap
OpenStreetMap
WinBuilder
Let’s-Encrypt Zertifikat
Acronis
DriveSnapshot
Autopsy
Übersicht
sonstiges

Navigation:

Links:
Letís Encrypt
ACME Client Implementations
Certify SSL Manager manage free https certificates for IIS
certbot DOCs
Automatically enable HTTPS on your website with EFF's Certbot, deploying Let's Encrypt certificates
Microsoft RDP mit Letsencrypt
Exchange mit Let’s Encrypt Teil1
Exchange mit Let’s Encrypt Teil2

SSL TestPages:
SSLLabs - SSL Server Test
https://observatory.mozilla.org/analyze.html?host=www.heise.de - Mozilla Sicherheitscheck für WebServer

Seitenanfang

Dateien und Verzeichnisse

Datei / Verzeichnis Beschreibung
/etc/letsencrypt/ Arbeitsverzeichnis für Zertifikate und Konfigurationsdateien
/etc/letsencrypt/live/domain.tld/ Link zu den aktuellen Zertifikaten
/var/log/letsencrypt/letsencrypt.log aktuelle LOG Datei
/etc/letsencrypt/renewal/domain.tld.conf certbot renew Steuerdatei
Zertifikatsdateien
cert.pem öffentliche Server Zertifikat
chain.pem Intermediate Zertifikat
fullchain.pem cert.pem + chain.pem
privkey.pem Privater Schlüssel
   

 

Seitenanfang

Client Installation

- add-apt-repository unter ubuntu 14.04 und debian installieren

apt-get install python-software-properties software-properties-common

- Let’s-Encrypt-Client laden und installieren

add-apt-repository ppa:certbot/certbot
apt update
apt install python-certbot-apache

- Let’s-Encrypt-Zertifikate für Apache installieren, mit diesem Befehl kann man auch das Zertifikat um weitere Domainname erweitern.

certbot --apache \
 -d domain.tld \
 -d www.domain.tld \
 -d imap.domain.tld \
 -d smtp.domain.tld
Parameter Beschreibung
--staging führt erst einen Probelauf durch, ist dieser erfolgreich, muss der Parameter entfernt werden. Zum Test wird ein Zertifikat von "Fake LE Intermediate X1" eingebunden
-d legt die Domain im Zertifikat fest
--apache PlugIn weiter ist noch --webroot, --nginx, --standalone, --manual möglich
-m <eMail Adresse> eMail, an die die Mail zum erneuern des Zertifikates geschickt wird
certbot --help certbot Hilfe anzeigen
certbot revoke Zertifikate wiederrufen
-rsa-key-size 4096 Key Länge festlegen
service apache2 restart

- Zertifikate die in den nächsten 30 Tagen ablaufen automatisch erneuern

#!/bin/sh
# Datei /etc/cron.weekly/letsencrypt
certbot renew

Script ausführbar machen, wird ein mal die Woche ausgeführt

chmod a+x /etc/cron.weekly/letsencrypt

- wenn das Zertifikat noch in mehreren Diensten eingebunden ist, müssen diese nach den erneuern auch neu gestartet werden.

#!/bin/sh
# Datei /etc/cron.weekly/letsencrypt
certbot renew

result=$(find /etc/letsencrypt/live/ -type l -mtime -1 )
if [ -n "$result" ]; then
  systemctl restart postfix.service
  systemctl restart kopano-gateway.service
  systemctl restart kopano-ical.service
fi
Seitenanfang

Zertifikat prüfen

- Zertifikat Ausgabe testen

openssl s_client -connect domain.tld:443

- von allen Mail-Zertifikaten das Ablaufdatum ausgeben.

#!/bin/bash
#
#
echo
openssl s_client -connect mail.domain.tld:995 2>&- | if openssl x509 -enddate -noout
then
  echo "POP3 Certificate is good for another day!"
else
  echo "Certificate has expired or will do so within 24 hours!"
  echo "(or is invalid/not found)"
fi
echo
echo
openssl s_client -connect mail.domain.tld:993 2>&- | if openssl x509 -enddate -noout
then
  echo "IMAP Certificate is good for another day!"
else
  echo "Certificate has expired or will do so within 24 hours!"
  echo "(or is invalid/not found)"
fi
echo
echo
openssl s_client -starttls smtp -crlf -connect mail.domain.tld:587 2>&- | if openssl x509 -enddate -noout
then
  echo "SMTP Certificate is good for another day!"
else
  echo "Certificate has expired or will do so within 24 hours!"
  echo "(or is invalid/not found)"
fi
echo
echo
Seitenanfang

sonstiges