Izmantojot Lets Encrypt uz OpenBSD 6.1

Vairs nevienam nav jāizveido savi SSL sertifikāti, jo tagad jūs varat iegūt savu bezmaksas derīgu SSL sertifikātu no Let's Encrypt . Šis sertifikāts ir apstiprināts tikai domēnā, tāpēc to nevajadzētu izmantot e-komercijai. Let's Encrypt izsniegtais sertifikāts var būt derīgs jūsu norādītajiem primārajiem un apakšdomēniem, taču Let's Encrypt vēl neatbalsta aizstājējzīmju sertifikātus. OpenBSD ietver Let's Encrypt klientu ar nosaukumu acme-client.

PIEZĪME. Lūdzu, neaizmirstiet aizstāt example.orgar savu domēnu .

Konfigurējiet /etc/acme-client.confkonfigurācijas failu.

# cd /etc
# vi acme-client.conf

Pievienojiet failam tālāk norādīto. domain full chainSertifikāts satur Let 's šifrēšana SSL ķēde, kas ir noderīgi vērtēšanai. Šeit mēs izmantosim pilnu ķēdi domain certificate.

domain example.org {
    alternative names { www.example.org webmail.example.org }
    domain key "/etc/ssl/private/example.org.key"
    domain certificate "/etc/ssl/example.org.cert"
    domain full chain certificate "/etc/ssl/example.org.fullchain.cert"
    sign with letsencrypt
}

Konfigurējiet un sāciet httpd.conf. acme-klients izmanto tīmekļa serveri, lai veiktu savus izaicinājumus, lai pārbaudītu domēna derīgumu. Šiem izaicinājumiem ir jābūt veiksmīgiem, lai tiktu izsniegts derīgs, parakstīts sertifikāts.

server "default" {
    listen on port 80
    root "/htdocs"
    directory index index.html

    location "/.well-known/acme-challenge/*" {
        root {"/acme", strip 2}
    }
}

# rcctl start httpd

Ierakstiet acme-client -ADv example.org. tagad jums ir jābūt derīgam SSL sertifikātam. Tas būs derīgs 90 dienas, pirms jums būs vēlreiz jāpalaiž acme-client, lai sertifikāts tiktu atkārtoti izsniegts.

Ja tiek parādītas kļūdas, pārliecinieties, port 80vai ugunsmūris ir atvērts. Jums būs nepieciešams DNS A ieraksts, kas atrisina example.orgjūsu Vultr instances IP adresi.

# echo 'pass in on egress inet proto tcp from any to port 80 flags S/SA modulate state' >> /etc/pf.conf
# pfctl -f /etc/pf.conf