Lets Encrypt kasutamine OpenBSD 6.1-s

Enam ei pea keegi oma SSL-sertifikaate looma, sest nüüd saate Let's Encryptilt hankida oma tasuta kehtiva SSL-sertifikaadi . See sertifikaat on ainult domeeniga kinnitatud, seega ei tohiks seda e-kaubanduse jaoks kasutada. Let's Encrypti väljastatud sertifikaat võib kehtida teie määratud esmaste ja alamdomeenide jaoks, kuid Let's Encrypt ei toeta veel metamärke. OpenBSD sisaldab Let's Encrypt klienti nimega acme-client.

MÄRKUS. Ärge unustage asendada example.orgoma domeeniga .

Seadistage /etc/acme-client.confkonfiguratsioonifail.

# cd /etc
# vi acme-client.conf

Lisage failile järgmine. domain full chainSertifikaat sisaldab Teeme Krüpti SSL ahela, mis on kasulik valideerimist. Siin kasutame ahela asemel kogu ahelat domain certificate.

domain example.org {
    alternative names { www.example.org webmail.example.org }
    domain key "/etc/ssl/private/example.org.key"
    domain certificate "/etc/ssl/example.org.cert"
    domain full chain certificate "/etc/ssl/example.org.fullchain.cert"
    sign with letsencrypt
}

Seadistage ja käivitage httpd.conf. acme-klient kasutab domeeni kehtivuse kontrollimiseks oma väljakutsete sooritamiseks veebiserverit. Need väljakutsed peavad olema edukad, et väljastada kehtiv allkirjastatud sertifikaat.

server "default" {
    listen on port 80
    root "/htdocs"
    directory index index.html

    location "/.well-known/acme-challenge/*" {
        root {"/acme", strip 2}
    }
}

# rcctl start httpd

Tüüp acme-client -ADv example.org. nüüd peaks teil olema kehtiv SSL-sertifikaat. See kehtib 90 päeva, enne kui peate sertifikaadi uuesti väljastamiseks uuesti käivitama acme-clienti.

Kui näete tõrkeid, veenduge, et port 80teie tulemüür oleks avatud. Teil on vaja DNS-i kirjet, mis lahendab example.orgteie Vultri eksemplari IP-aadressi.

# echo 'pass in on egress inet proto tcp from any to port 80 flags S/SA modulate state' >> /etc/pf.conf
# pfctl -f /etc/pf.conf