[Markdown] 

Hubzilla in der Dose (HiD): 7 – SSL-Zertifikat mit Let‘s Encrypt

7 – SSL-Zertifikat mit Let‘s Encrypt

img

Nun fehlt nur noch ein Zertifikat, damit unser Hubzilla in der Dose per https erreicht werden kann. Gerade bei Diensten, wo teilweise sensible Daten übertragen werden, ist eine Verschlüsselung dieser wichtig und absolut notwendig.

Dank Let‘s Encrypt ist es ja nun möglich, kostenlose Zertifikate zu erstellen und zu verwenden, die von fast allen Webbrowsern anerkannt werden.

Let‘s Encrypt

Let‘s Encrypt installieren wir uns am besten via git. Sollte git beim verwendeten Raspbian noch nicht installiert sein (unwahrscheinlich), muss das rasch nachgeholt werden:

sudo apt-get install git

Da wir in der Konfiguration von Apache „herumpfuschen“, sollten wir Apache erst einmal stoppen:

sudo systemctl stop apache2

Nun wechseln wir in unser Home-Verzeichnis und ziehen uns Let‘s Encrypt:

git clone https://github.com/letsencrypt/letsencrypt

Jetzt wechseln wir in das Verzeichnis „letsencrypt“:

cd letsencrypt

Für die Erzeugung und Installation des Zertifikats brauchen wir einmal die Domain (), für welche das Zertifikat erstellt werden soll, sowie eine funktionierende Mail-Adresse (). Das Erstellen des Zertifikats erfolgt nun mit:

./letsencrypt-auto -d  --redirect -m  --apache

Der Parameter „–redirect“ sorgt dafür, dass http-Zugriffe auf https umgeleitet werden, „–apache“ sorgt dafür, dass das Zertifikat gleich korrekt für die Nutzung mit dem Apache-Webserver konfiguriert wird.

Nun die Nutzungsbedingungen lesen und akzeptieren. Fertig!

Da Let‘s Encrypt Zertifikate eine Gültigkeitsdauer von drei Monaten haben, müssen wir darauf achten, das Zertifikat rechtzeitig zu erneuern. Das Erneuern funktioniert mit:

./letsencrypt-auto -d  --redirect -m  --agree-tos --renew-by-default

Damit wir nicht ständig daran denken müssen, das Zertifikat rechtzeitig zu erneuern, lassen wir das von einem Cronjob erledigen…

sudo crontab -e

.

0 2 1 * * /home/pi/letsencrypt/letsencrypt-auto -d  --redirect -m  --agree-tos --renew-by-default

Damit wird das Zertifikat an jedem Monatsersten um 2 Uhr in der Nacht automatisch erneuert.

Jetzt schnell noch Apache neu starten:

sudo systemctl start apache2

Rufen wir nun vom Rechner aus https:// auf, sollte wieder die Apache-Standardseite angezeigt werden… und der Browser zeigt Euch (hoffentlich), dass es sich um eine „sichere Verbindung“ handelt.

Der nächste Schritt ist nun schon die Installation von Hubzilla… wobei ich das in zwei Teile unterteile. Zuerst schildere ich die Probleme und Fallstricke, die mir begegnet sind… und wie man die Probleme lösen kann… und im zweiten Teil beschreibe ich die einzelnen Schritte, um Hubzilla zu installieren und in Betrieb zu nehmen.