Bitte die gesamte Anleitung durchlesen, bevor damit begonnen wird!

  1. Überprüfen, ob http-Variante des Links funktioniert (wichtig!)
  2. /var/www/sendsfx.com/ssl/acme-client/acme-client.yml öffnen
    1. Link zur entsprechenden Instanz/Zertifikat hinzufügen (/var/www/sendsfx.com/instanz) dabei darauf achten:
      1. Alle Links eines Zertifikats auf einmal hinzuzufügen, da es ansonsten eventuell Probleme bei der Ratenbeschränkung gibt. https://letsencrypt.org/docs/rate-limits/ 
      2. Links am Ende hinzufügen
      3. Überprüfen, ob der Link auf die korrekte Instanz verweist
    2. Falls es noch keine Links für eine Instanz gibt, wie bei den anderen anlegen
    3. Das Zertifikat wird auf den ersten Link in der config beantragt. Bitte beachten.
    4. Um sicher zu gehen, vor dem Speichern der Änderungen Sicherheitskopie anlegen
  3. Im Verzeichnis /var/www/sendsfx.com/ssl/acme-client php acme-client.phar auto aufrufen
    1. Beantragt und erneuert Zertifikate
    2. Falls Fehler in acme-client.yml vorhanden sind, werden sie hier angezeigt. Bitte Fehlermeldung analysieren und Link überprüfen. Testen, ob auf http://neuerlink/.well-known/acme-challenge zugegriffen werden kann
    3. Alle Fehler vor einem erneuten Aufruf beheben (wichtig!) da ansonsten Ratenprobleme drohen https://letsencrypt.org/docs/rate-limits/
  4. Falls alle Zertifikate erfolgreich beantragt wurden:
    1. Sicherheitskopie von /etc/apache2/sites-enabled/...sfXX... erstellen. Bitte die korrekte Datei ermitteln und darauf achten, dass die tatsächliche Datei kopiert wurde (im sites-enabled befindet sich normalerweise nur ein syslink auf eine Datei in sites-available, Ausnahme server 02)
    2. Datei öffnen
    3. Falls für die Instanz ssl-vhost existiert findet man die Einstellung beim Kommentar "#sfXX ssl" oder "#ssl sfXX"
      1. Linkdomain zu ServerAlias hinzufügen.
      2. Linkdomain aus Serveralias von existierendem vhost mit Port 443 löschen (von Nessus angelegt, funktioniert aber nicht)
      3. Speichern
      4. "sudo apache2ctl -S" aufrufen und überprüfen, ob linkdomain bei vhost der Instanz Port 80 Aliases und bei den vhost Port 443 Aliases des entsprechenden Zertifikats aufgelistet wird. Auch darauf achten, dass sie NICHT bei den vhost Port 443 Aliases des Instanzzertifikats aufgelistet ist
      5. "sudo /etc/init.d/apache2 reload" aufrufen ("sudo apachectl -k graceful" auf server 02)
      6. Sofort überprüfen, ob eine der Links und die Instanz funktionieren. Sollte die Instanz nicht mehr funktionieren, Sicherheitskopie einspielen.
    4. Falls noch keine Einstellungen für die Instanz existieren, Einstellungen einer anderen Instanz kopieren und entsprechend umändern. Die cert-Files dazu sind normalerweise die des ersten Links in der acme-client.yml Datei. Um alle Zertifikat-Ordner anzeigen zu lassen, "ls -l ../certificates/certs/acme-v01.api.letsencrypt.org.directory/" aufrufen
  5. Fertig


PS: zum Erneuern sollte ist ein Conjob angelegt werden, der alle 14 Tage "php acme-client.phar auto" aufruft und die Zertifikate erneuert



FAQ:

  • Falls die Seite am Ende noch als "unsicher" angezeigt wird ist oft das Problem, dass der Alias nicht aus dem Standard-Vhost für https gelöscht wurde. Mit "sudo apache2ctl -S" leicht überprüfbar
  • Auf https://crt.sh lässt sich nachschauen, ob schon ein Zertifikat beantragt wurde.
  • Die Zertifikate kann man in /var/www/sendsfx.com/ssl/certificates/certs/acme-v01.api.letsencrypt.org.directory/ sehen.