Používanie Lets Encrypt na OpenBSD 6.1

Už nie je potrebné, aby si niekto musel vytvárať svoje vlastné certifikáty SSL, pretože teraz môžete získať svoj vlastný bezplatný platný certifikát SSL od spoločnosti Let's Encrypt . Tento certifikát je overený iba doménou, takže by sa nemal používať pre elektronický obchod. Certifikát vydaný Let's Encrypt môže byť platný pre primárne a subdomény, ktoré určíte, ale Let's Encrypt zatiaľ nepodporuje zástupné certifikáty. OpenBSD obsahuje klienta Let's Encrypt s názvom acme-client.

POZNÁMKA: Nezabudnite nahradiť example.orgvašou doménou .

Nakonfigurujte /etc/acme-client.confkonfiguračný súbor.

# cd /etc
# vi acme-client.conf

Do súboru pridajte nasledovné. domain full chainCertifikát obsahuje Poďme šifrovanie SSL retiazku, ktorý je užitočný pre overenie. Tu použijeme celý reťazec namiesto domain certificate.

domain example.org {
    alternative names { www.example.org webmail.example.org }
    domain key "/etc/ssl/private/example.org.key"
    domain certificate "/etc/ssl/example.org.cert"
    domain full chain certificate "/etc/ssl/example.org.fullchain.cert"
    sign with letsencrypt
}

Nakonfigurujte a spustite httpd.conf. Klient acme používa webový server na vykonanie výziev na overenie platnosti domény. Tieto výzvy musia byť úspešné, aby bol vydaný platný, podpísaný certifikát.

server "default" {
    listen on port 80
    root "/htdocs"
    directory index index.html

    location "/.well-known/acme-challenge/*" {
        root {"/acme", strip 2}
    }
}

# rcctl start httpd

Napíšte acme-client -ADv example.org. teraz by ste mali mať platný certifikát SSL. Bude platný 90 dní, kým budete musieť znova spustiť acme-client, aby ste získali opätovné vydanie certifikátu.

Ak sa vyskytnú nejaké chyby, uistite sa, že máte port 80otvorenú bránu firewall. Budete potrebovať záznam DNS A, ktorý sa example.orgpriraďuje k IP adrese vašej inštancie Vultr.

# echo 'pass in on egress inet proto tcp from any to port 80 flags S/SA modulate state' >> /etc/pf.conf
# pfctl -f /etc/pf.conf