Použití Lets Encrypt na OpenBSD 6.1

Již není potřeba, aby si někdo musel vytvářet vlastní SSL certifikáty, protože nyní můžete získat svůj vlastní bezplatný, platný SSL certifikát od Let's Encrypt . Tento certifikát je ověřen pouze doménou, takže by neměl být používán pro elektronický obchod. Certifikát vydaný Let's Encrypt může být platný pro primární a dílčí domény, které určíte, ale Let's Encrypt zatím nepodporuje zástupné certifikáty. OpenBSD obsahuje klienta Let's Encrypt s názvem acme-client.

POZNÁMKA: Nezapomeňte prosím nahradit example.orgsvou doménou .

Nakonfigurujte /etc/acme-client.confkonfigurační soubor.

# cd /etc
# vi acme-client.conf

Přidejte do souboru následující. domain full chainCertifikát obsahuje Pojďme šifrování SSL řetízek, který je užitečný pro ověření. Zde použijeme celý řetězec namísto domain certificate.

domain example.org {
    alternative names { www.example.org webmail.example.org }
    domain key "/etc/ssl/private/example.org.key"
    domain certificate "/etc/ssl/example.org.cert"
    domain full chain certificate "/etc/ssl/example.org.fullchain.cert"
    sign with letsencrypt
}

Nakonfigurujte a spusťte httpd.conf. Klient acme používá webový server k provádění výzev k ověření platnosti domény. Tyto výzvy musí být úspěšné, aby mohl být vydán platný podepsaný certifikát.

server "default" {
    listen on port 80
    root "/htdocs"
    directory index index.html

    location "/.well-known/acme-challenge/*" {
        root {"/acme", strip 2}
    }
}

# rcctl start httpd

Typ acme-client -ADv example.org. nyní byste měli mít platný certifikát SSL. Bude platný 90 dní, než budete muset znovu spustit acme-client, abyste získali znovu vystavení certifikátu.

Pokud se objeví nějaké chyby, ujistěte se, že máte port 80otevřenou bránu firewall. Budete potřebovat záznam DNS A, který se překládá example.orgna IP adresu vaší instance Vultr.

# echo 'pass in on egress inet proto tcp from any to port 80 flags S/SA modulate state' >> /etc/pf.conf
# pfctl -f /etc/pf.conf