Let's Encrypt certificaat veilig stellen

[mariannevanh]

Ik ben bezig met het opzetten van een website die ik wil voorzien van een Let's Encrypt-certificaat.
De afgelopen dagen heb ik het werk al meerdere malen opnieuw moeten beginnen omdat ik een fout maakte die ik niet meer kon terugdraaien.

In het verleden heb ik eens ontdekt dat je niet oneindig Let's Encrypt-certificaten voor dezelfde website kunt aanvragen. Daarom zou ik graag willen weten of het mogelijk is om de drie gegenereerde bestanden (ca.cer, fullchain.cer en sub.domain.cer) na het genereren veilig te stellen, zodat ik deze weer kan terugplaatsen als ik weer opnieuw moet beginnen.

Vriendelijke groet,
Guido

 

[Aar]

Die kan je veiligstellen. Kwestie van uitzoeken waar ze staan. Dat kan je zelf vast wel uitzoeken. Volgens mij kan je ze ook revoken zodat je ze weer kan aanvragen. Check de manual.

Deze certificaten zijn steeds drie maanden geldig. Dus maak een cron die elke maand de cert-bot uitvoert.

 

[mariannevanh]

De afgelopen dagen heb ik het werk al meerdere malen opnieuw moeten beginnen omdat ik een fout maakte die ik niet meer kon terugdraaien.

Als ik binnen de drie maanden van de geldigheid van het certificaat te vaak opnieuw een certificaat laat genereren, zal de server wellicht ook melden dat ik over mijn limiet zit.
Het gaat mij dus puur om het veilig stellen voor een periode van maximaal 3 maanden.

Een cron heb ik aangemaakt.

 

[Aar]

Revoken lijkt mij de beste optie.
Daarna opnieuw aanvragen.

Tijdelijk veiligstellen zou ik liever niet doen.

 

[mariannevanh]

Ik kom er nog niet helemaal uit.

Bij het opzetten van de server maakte ik gebruik van deze handleiding. Daarin wordt voor het aanvragen van het certificaat gebruik gemaakt van het commando
.

acme.sh --issue -d meinedomain.de --keylength 4096 -w /var/www/letsencrypt --key-file /etc/letsencrypt/meinedomain.de/key.pem --ca-file /etc/letsencrypt/meinedomain.de/ca.pem --cert-file /etc/letsencrypt/meinedomain.de/cert.pem --fullchain-file /etc/letsencrypt/meinedomain.de/fullchain.pem --reloadcmd "sudo /bin/systemctl reload nginx.service"

Ik denk dat ik dus deze opdracht moet gebruiken:

acme.sh --revoke -d meinedomain.de -w /var/www/letsencrypt --key-file /etc/letsencrypt/meinedomain.de/key.pem --ca-file /etc/letsencrypt/meinedomain.de/ca.pem --cert-file /etc/letsencrypt/meinedomain.de/cert.pem --fullchain-file /etc/letsencrypt/meinedomain.de/fullchain.pem --reloadcmd "sudo /bin/systemctl reload nginx.service"

Is dat juist gedacht of niet? Wellicht dat ik het kan proberen, maar ik voel er weinig voor om als straf voor een eventueel gemaakte fout drie maanden te moeten wachten voordat ik weer certificaat kan aanvragen...

 

[Aar]

Waarom gebruik je niet de 'certbot'?
Die is veel veiliger voor gebruikers.

 

[mariannevanh]

Waarom gebruik je niet de 'certbot'?
Die is veel veiliger voor gebruikers.

Tja, het is me aanbevolen door de auteur van bovengenoemde handleiding.
Is een met ACME aangemaakt certificaat te revoken met certbot?

Zijn de parameters hetzelfde als bij ACME, m.a.w. bovenstaand commando maar dan beginnend met

certbot

?

 

[Aar]

ACME is de API, en met jouw script (die ik niet ken) roep je die direct aan. Certbot detecteert ook al je (webserver-)instellingen, en is veel gebruiksvriendelijker.

Hoe 'certbot' werkt kan je vast wel zelf uitflikflooien voor jouw distro en setup

 

[mariannevanh]

Vooralsnog is het me gelukt de server opnieuw op te starten, zonder herinstallatie, zonder revoke, enz.
Ik ga dit zeker verder uitzoeken.
Bedankt voor zover!