Jak jsem nasadil Let’s Encrypt 2

Možná si ještě vzpomínáte na můj první článek o tom, Jak jsem nasadil Let’s Encrypt. Jo, nebyl příliš jednoduchý ale zase jste věděli co se vám na serveru děje. Dneska ukáži jednodušší způsob: Cerbot.

Instalace

apt-get install python-certbot-apache

Automatická instalace certifikátů a nastavení Apache:

certbot --apache

Pokud jste konzervativní a nechcete aby vám Cerbot zasahoval do konfigurace Apache, přidejte k příkazu certonly:

certbot --apache certonly

Po spuštění se zobrazí průvodce, který požaduje váš e-mail a nalezne všechny virtualhosty na serveru a nabídne pro ně vygenerování certifikátů. Vyberete ty, které chcete použít.

Certifikáty jsou poté vygenerovány do: /etc/letsencrypt/live/www.jmeno-domeny.cz/fullchain.pem

Obnovení platnosti certifikátu

Let’s Encrypt vydává certifikáty s platností 90 dní. Obnova certifikátů se provádí příkazem:

certbot renew --dry-run

If that appears to be working correctly, you can arrange for automatic renewal by adding a cronor systemd job which runs the following:

certbot renew

Vygenerování nového certifikátu

certbot --apache -d example.com -d www.example.com

Edit 5.5.2019
Certifikáty je nutné generovat jiným příkazem. Lets’s encrypt přestal používat šifrování HTTP-01 a přešel naTLS-SNI-01. Certifikát vygenerujeme:

certbot --authenticator standalone --installer apache -d venca-x.cz -d www.venca-x.cz --pre-hook "systemctl stop apache2" --post-hook "systemctl start apache2"



Debian 9: jak nastavit IPv6

Pokud váš poskytovatel připojení internetu nabízí IPv6, zde je ukázka nastavení. Tato konfigurace se provede i po restartu serveru.

vim /etc/network/interfaces

    iface eth0 inet6 static
        address 2001:db8::c0ca:1eaf
        netmask 64
        gateway 2001:db8::1ead:ed:beef
        dns-nameservers 2001:4860:4860::8844 2001:4860:4860::8888

Aby se změna projevila, je nutné restartovat interface

/etc/init.d/networking restart

Pokud jsme přihlášeni přes Putty, bude spojení přerušeno a je nutné se znovu připojit.

Správnou konfiguraci zjistíme příkazem:

ip address show

Správné nastavení ověříme pingem:

ping6 ipv6.google.com