Diese Anleitung erzeugt ein Zertifikat mittels Let's Encrypt. 

Voraussetzungen

Der DNS Namen (dies wird in das Zertifikat eingetragen) muss über DNS aufgelöst werden, und muss auf die IP Adresse vom Load-Balancer geroutet werden.

Vorher kann diese Prozedur nicht angewendet werden.

Hinweis: die automatische Erneuerung des Zertifikats wird (noch) nicht durch diese Anleitung beschrieben.

Durchführung

Certbot Installieren

Zuerst wird certbot installiert.

yum install certbot

Port 80 Freimachen

Anschließend muss alles was auf Port 80 horcht, gestoppt werden. Auf den Load-Balancer ist dies üblicherweise der haproxy selbst.

service haproxy stop

Certbot Ausführen

Anschließend wird certbot ausgeführt - dieser horcht auf Port 80, und erhält dann eine Anfrage von Let's Encrypt. 

Hierbei ist es wichtig die erste Zeile anzupassen - dies muss EXAKT den DNS Namen entsprechen. 

FQDN_SERVERNAME=myserver.mydomain.com
certbot certonly --standalone --preferred-challenges http --http-01-port 80 -d ${FQDN_SERVERNAME} -d ${FQDN_SERVERNAME}

PEM Erzeugen

Als nächstes wird die .pem Datei (beinhaltend der vollen Zertifikatskette sowie Private-Key) erzeugt.

cat /etc/letsencrypt/live/${FQDN_SERVERNAME}/fullchain.pem /etc/letsencrypt/live/${FQDN_SERVERNAME}/privkey.pem > /etc/haproxy/haproxy.pem

Aufräumen

Und zum Schluss kann optional aufgeräümt werden.

unset FQDN_SERVERNAME

Weitermachen

Anschließend wird wie unter Rolle LB - Zertifikate für Load-Balancer weitergemacht - das Zertifikat liegt vor in der Datei /etc/haproxy/haproxy.pem