Uporaba Lets Encrypt na OpenBSD 6.1

Nikomur ni več treba ustvarjati lastnih SSL certifikatov, saj lahko zdaj pri Let's Encrypt dobite svoje brezplačno, veljavno potrdilo SSL . To potrdilo je samo domensko potrjeno, zato se ne sme uporabljati za e-trgovino. Potrdilo, ki ga izda Let's Encrypt, je lahko veljavno za primarne in poddomene, ki jih določite, vendar Let's Encrypt še ne podpira potrdil z nadomestnimi znaki. OpenBSD vključuje odjemalca Let's Encrypt, imenovanega acme-client.

OPOMBA: Ne pozabite zamenjati example.orgs svojo domeno .

Konfigurirajte /etc/acme-client.confkonfiguracijsko datoteko.

# cd /etc
# vi acme-client.conf

V datoteko dodajte naslednje. domain full chainPotrdilo vsebuje v Debatni šifriranje SSL verige, kar je koristno za potrditev. Tukaj bomo uporabili celotno verigo namesto domain certificate.

domain example.org {
    alternative names { www.example.org webmail.example.org }
    domain key "/etc/ssl/private/example.org.key"
    domain certificate "/etc/ssl/example.org.cert"
    domain full chain certificate "/etc/ssl/example.org.fullchain.cert"
    sign with letsencrypt
}

Konfigurirajte in zaženite httpd.conf. Odjemalec acme uporablja spletni strežnik za izvajanje svojih izzivov za preverjanje veljavnosti domene. Ti izzivi morajo biti uspešni, da se lahko izda veljavno, podpisano potrdilo.

server "default" {
    listen on port 80
    root "/htdocs"
    directory index index.html

    location "/.well-known/acme-challenge/*" {
        root {"/acme", strip 2}
    }
}

# rcctl start httpd

Vrsta acme-client -ADv example.org. zdaj bi morali imeti veljavno potrdilo SSL. Veljavno bo 90 dni, preden boste morali znova zagnati acme-client za ponovno izdajo potrdila.

Če opazite napake, se prepričajte, da imate port 80odprt požarni zid. Potrebovali boste zapis DNS A, ki se razreši example.orgv naslov IP vašega primerka Vultr.

# echo 'pass in on egress inet proto tcp from any to port 80 flags S/SA modulate state' >> /etc/pf.conf
# pfctl -f /etc/pf.conf