[Eisfair] [E1] Eisfair und Let's Encrypt

Juergen Edner juergen at eisfair.org
Di Aug 30 10:51:17 CEST 2016


Hallo Marcus,

> Juergen Edner wrote:
> 
>>> vi /usr/local/apache2/conf/httpd.conf
>>> War:
>>>     SSLCertificateFile /usr/local/ssl/certs/apache.pem
>>>     SSLCertificateKeyFile /usr/local/ssl/private/apache.key
>>> Soll:
>>>     SSLCertificateFile /usr/local/ssl/certs/letsencrypt_fullchain.pem
>>>     SSLCertificateKeyFile /usr/local/ssl/certs/letsencrypt_privkey.pem
>>
>> generell werden Serverzertifikate auf eisfair in einer Datei gepflegt.
>> Aus diesem Grund sollten möglichst beide Programmteile in eine Datei
>> zusammen kopiert werden. Außerdem sollte möglichst sicher gestellt
>> werden, dass auch Diffie-Hellman-Parameter dazu kopiert werden damit
>> Perfect Forward Secrecy unterstützt wird.
> 
> Wäre es nicht sinnvoll, dass letsencrypt-Zertifikat als Server-Zertifikat zu
> nutzen, dann kann es auch für ftp und Co über die Zertifikatslinks genutzt
> werden?

dies sollte aus meiner Sicht kein Problem sein. Meine Empfehlung
lautet wie üblich das Zertifikat mit dem Namen 'meine-server-fqdn.pem'
abzuspeichern und dann alle anderen Zertifikate darauf zu verlinken.
Hierzu wurde der Menüpunkt '16 - check package dependent symbolic links'
geschaffen. Dies erfordert dann auch keinen Eingriff in die apache2-
Konfiguration, vorbehaltlich dass die Zertifikatsbestandteile, wie
zuvor beschrieben, zusammen kopiert werden.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org


Mehr Informationen über die Mailingliste Eisfair