Lets Encryptin käyttö OpenBSD 6.1:ssä

Kenenkään ei enää tarvitse luoda omia SSL-varmenteita, koska nyt voit hankkia oman ilmaisen, voimassa olevan SSL-varmenteen Let's Encryptistä . Tämä varmenne on vain verkkotunnuksen vahvistama, joten sitä ei tule käyttää verkkokauppaan. Let's Encryptin myöntämä varmenne voi olla voimassa määrittämillesi ensisijaisille ja aliverkkotunnuksille, mutta Let's Encrypt ei vielä tue jokerimerkkivarmenteita. OpenBSD sisältää Let's Encrypt -asiakkaan nimeltä acme-client.

HUOMAA: Muista korvata se example.orgverkkotunnuksellasi .

Määritä /etc/acme-client.confasetustiedosto.

# cd /etc
# vi acme-client.conf

Lisää tiedostoon seuraavat tiedot. domain full chainTodistus sisältää Let Salaa SSL-ketju, joka on hyödyllinen validointi. Tässä käytämme koko ketjua domain certificate.

domain example.org {
    alternative names { www.example.org webmail.example.org }
    domain key "/etc/ssl/private/example.org.key"
    domain certificate "/etc/ssl/example.org.cert"
    domain full chain certificate "/etc/ssl/example.org.fullchain.cert"
    sign with letsencrypt
}

Määritä ja käynnistä httpd.conf. acme-client käyttää verkkopalvelinta suorittaakseen haasteensa varmistaakseen toimialueen kelvollisuuden. Näiden haasteiden on onnistuttava, jotta kelvollinen allekirjoitettu todistus voidaan myöntää.

server "default" {
    listen on port 80
    root "/htdocs"
    directory index index.html

    location "/.well-known/acme-challenge/*" {
        root {"/acme", strip 2}
    }
}

# rcctl start httpd

Kirjoita acme-client -ADv example.org. sinulla pitäisi nyt olla voimassa oleva SSL-varmenne. Se on voimassa 90 päivää ennen kuin sinun on suoritettava acme-client uudelleen saadaksesi varmenteen uudelleen.

Jos saat virheitä, varmista, että port 80palomuurisi on auki. Tarvitset DNS A-tietueen, joka ratkaisee example.orgVultr-instanssisi IP-osoitteen.

# echo 'pass in on egress inet proto tcp from any to port 80 flags S/SA modulate state' >> /etc/pf.conf
# pfctl -f /etc/pf.conf