Let's Encrypt

Linux.fista
Versio hetkellä 5. marraskuuta 2016 kello 21.13 – tehnyt Maakuth (keskustelu | muokkaukset) (todo pois, tokihan mitä tahansa artikkelia voi parantaa muutenkin)
Siirry navigaatioon Siirry hakuun
Let's Encrypt

Käyttöliittymä teksti
Lisenssi Apache 2.0
Kotisivu letsencrypt.org

Let's Encrypt on Linux Foundationin projekti. Let's Encryptin tavoite on helpottaa TLS-sertifikaattien käyttöönottoa ja se tarjoaa niitä ilmaisen palvelun kautta.

Arch Linux

nginx

Asenna letsencrypt ja nginx:iä koskevat apuohjelmat:

 # pacman -S letsencrypt letsencrypt-nginx

Käyttöönotto graafisella konsolipohjaisella käyttöliittymällä:

 # letsencrypt

Ohjelma lataa graafisen konsolipohjaisen käyttöliittymän ja hakee nginxiin konfiguroidut domain-nimet. Valitse haluamasi domainit, jolle Let's encrypt otetaan käyttöön painamalla välilyöntiä. Vakiona ohjelma on valinnut kaikki domainit ja niiden mahdolliset alidomainit. Paina Enteriä OK aloittaaksesi asennuksen. Voit valita Cancel/Peruuta painamalla sarkainta tai käyttämällä vasenta ja oikeaa nuolinäppäintä. Seuraavaan konfiguraatiovaiheeseen siirtymisessä saattaa kestää hetken riippuen kuinka monta domainia valitsit.

Valinnat ovat:

  • Easy Allow both HTTP and HTTPS access to these sites (Molemmat HTTP- ja HTTPS-liikenne sallitaan)
  • Secure Make all requests redirect to secure HTTPS access (Kaikki liikenne uudelleenohjataan salatuksi liikenteeksi. Suositeltu valinta.)

Jos sertifikaatti on jo asennettu valitulle domainille niin vaihtoehdot ovat:

  • 1 Attempt to reinstall this existing certificate (Asenna uudelleen)
  • 2 Renew & replace the cert (limit ~5 per 7 days) (Uudista SSL-sertifikaatti)

Jos asensit tai uudelleenasensit Let's encryptin, konfiguraation näyttää seuraavalla sivu onnittelut ja URL-osoitteen, jossa asennettua sertifikaattia voi testata.

Testaa vielä, että nginx:n konfiguraatiotiedostot eivät sisällä virheitä:

 # nginx -t

Kokeile vielä, että kaikki toimii käynnistämällä nginx uudelleen:

 # systemctl restart nginx

Kokeile asennusta vielä menemällä selaimellasi https://domainisi.fi/ .

Muita huomioita

Jos käytät jotain CDN:ää, esimerkiksi CloudFlarea tai muuta HTTP/HTTPS-liikennettä uudelleenohjaavaa palvelua ei Let's encrypt välttämättä toimi, sillä CDN muuntaa IP-osoitteen osoittamaan kyseiselle CDN-palveluntarjoajalle ja ohjaa liikenteen palvelun kautta koneellesi, jossa Let's encrypt toimii. Riippuen CDN-palveluntarjoajasta saatat joutua ostamaan heiltä lisäpalvelun, jotta Let's encrypt toimii CDN:n kautta tai pudottamaan CDN:n käytöstä pois ja kääntämään A/AAAA-tietueet suoraan koneen julkiselle IP-osoitteelle. Tällöin menetetät mm. CDN:n tuoman välimuistihyödyn ja julkisen IP:n piilottamisen.

Aiheesta muualla

Katso myös