Diese Anleitung erzeugt ein Zertifikat mittels Let's Encrypt. VoraussetzungenDer DNS Namen (dies wird in das Zertifikat eingetragen) muss über DNS aufgelöst werden, und muss auf die IP Adresse vom Load-Balancer geroutet werden. Vorher kann diese Prozedur nicht angewendet werden. Hinweis: die automatische Erneuerung des Zertifikats wird (noch) nicht durch diese Anleitung beschrieben. DurchführungCertbot InstallierenZuerst wird certbot installiert. | Translations Ignore |
|---|
| Code Block |
|---|
yum install certbot |
|
Port 80 FreimachenAnschließend muss alles was auf Port 80 horcht, gestoppt werden. Auf den Load-Balancer ist dies üblicherweise der haproxy selbst. | Translations Ignore |
|---|
| Code Block |
|---|
service haproxy stop |
|
Certbot AusführenAnschließend wird certbot ausgeführt - dieser horcht auf Port 80, und erhält dann eine Anfrage von Let's Encrypt. Hierbei ist es wichtig die erste Zeile anzupassen - dies muss EXAKT den DNS Namen entsprechen. | Translations Ignore |
|---|
| Code Block |
|---|
FQDN_SERVERNAME=myserver.mydomain.com
certbot certonly --standalone --preferred-challenges http --http-01-port 80 -d ${FQDN_SERVERNAME} -d ${FQDN_SERVERNAME} |
|
PEM ErzeugenAls nächstes wird die .pem Datei (beinhaltend der vollen Zertifikatskette sowie Private-Key) erzeugt. | Translations Ignore |
|---|
| Code Block |
|---|
cat /etc/letsencrypt/live/${FQDN_SERVERNAME}/fullchain.pem /etc/letsencrypt/live/${FQDN_SERVERNAME}/privkey.pem > /etc/haproxy/haproxy.pem |
|
AufräumenUnd zum Schluss kann optional aufgeräümt werden. | Translations Ignore |
|---|
| Code Block |
|---|
unset FQDN_SERVERNAME |
|
WeitermachenAnschließend wird wie unter Rolle LB - Zertifikate für Load-Balancer weitergemacht - das Zertifikat liegt in der Datei /etc/haproxy/haproxy.pem nun vor. | 