Diese Anleitung erzeugt ein Zertifikat mittels Let's Encrypt.
Voraussetzungen
Der DNS Namen (dies wird in das Zertifikat eingetragen) muss über DNS aufgelöst werden, und muss auf die IP Adresse vom Load-Balancer geroutet werden.
Vorher kann diese Prozedur nicht angewendet werden.
Hinweis: die automatische Erneuerung des Zertifikats wird (noch) nicht durch diese Anleitung beschrieben.
Durchführung
Certbot Installieren
Zuerst wird certbot installiert.
yum install certbot
Port 80 Freimachen
Anschließend muss alles was auf Port 80 horcht, gestoppt werden. Auf den Load-Balancer ist dies üblicherweise der haproxy selbst.
service haproxy stop
Certbot Ausführen
Anschließend wird certbot ausgeführt - dieser horcht auf Port 80, und erhält dann eine Anfrage von Let's Encrypt.
Hierbei ist es wichtig die erste Zeile anzupassen - dies muss EXAKT den DNS Namen entsprechen.
FQDN_SERVERNAME=myserver.mydomain.com certbot certonly --standalone --preferred-challenges http --http-01-port 80 -d ${FQDN_SERVERNAME} -d ${FQDN_SERVERNAME}
PEM Erzeugen
Als nächstes wird die .pem Datei (beinhaltend der vollen Zertifikatskette sowie Private-Key) erzeugt.
cat /etc/letsencrypt/live/${FQDN_SERVERNAME}/fullchain.pem /etc/letsencrypt/live/${FQDN_SERVERNAME}/privkey.pem > /etc/haproxy/haproxy.pem
Aufräumen
Und zum Schluss kann optional aufgeräümt werden.
unset FQDN_SERVERNAME
Weitermachen
Anschließend wird wie unter Rolle LB - Zertifikate für Load-Balancer weitergemacht - das Zertifikat liegt vor in der Datei /etc/haproxy/haproxy.pem