Изменения

Let's Encrypt

3846 байт добавлено, 22:00, 14 марта 2016
Добавил раздел "Gentoo Way"
Также эти ключи находятся в каталоге <code>~/.le</code>, откуда они и копируются в вышеуказанные каталоги.
 
== Gentoo Way ==
Здесь мы рассмотрим установку и использование официальной утилиты <code>letsencrypt</code> на [https://wiki.gentoo.org/wiki/Project:Hardened Hardened Gentoo GNU/Linux] и web-сервером [http://www.lighttpd.net/ lighttpd].
 
Как будет видно далее, "особенностей" при установке обнаруживается не так много, и даже [http://stopdisablingselinux.com/ не нужно отключать SELinux]. Начнём с того, что в случае с Gentoo в портежах уже есть все необходимые утилиты, так что шаг "ожидание ebuild'ов" можно пропустить:
 
<pre>
$ eix letsencrypt
[I] app-crypt/letsencrypt
Available versions: (~)0.4.2 **9999 {test PYTHON_TARGETS="python2_7"}
Installed versions: 0.4.2(21:49:00 03/10/16)(-test PYTHON_TARGETS="python2_7")
Homepage: https://github.com/letsencrypt/letsencrypt https://letsencrypt.org/
Description: Let's encrypt client to automate deployment of X.509 certificates
 
* app-crypt/letsencrypt-apache
Available versions: **9999 {test PYTHON_TARGETS="python2_7"}
Homepage: https://github.com/letsencrypt/letsencrypt https://letsencrypt.org/
Description: Apache plugin for letsencrypt
 
Found 2 matches.
</pre>
 
Ставится стандартным способом:
 
$ emerge -aq --autounmask-write letsencrypt
 
"Размаскируем" пакет и предложенные зависимости (к примеру, через <code>etc-update</code>), запускаем приведённую выше команду по-новой, ждём установки. Пакет поставит за собой необходимые зависимости (к примеру, <code>app-crypt/acme</code>.)
 
Останавливаем web-сервер (в моём случае, <code>lighttpd</code>), чтобы освободить порт 80:
 
$ rc-config stop lighttpd
 
Запускаем операцию получения ключа:
 
$ letsencrypt certonly
 
и отвечаем на задаваемые утилитой вопросы. Данная команда выполнит только операцию получения сертификата, без его установки в web-сервер. Ключи будут сохранены в каталог <code>/etc/letsencrypt/archive/example.org</code>, симлинки на них брошены в <code>/etc/letsencrypt/live/example.org</code>.
 
Для <code>lighttpd</code> придётся сделать дополнительный шаг: склеить приватный ключ и публичный сертификат в один файл:<ref>https://nwgat.ninja/setting-up-letsencrypt-with-lighttpd/</ref>
 
$ cd /etc/letsencrypt/archive/example.org/
$ cat privkey1.pem cert1.pem > ssl1.pem
$ ln -s /etc/letsencrypt/archive/ssl1.pem /etc/letsencrypt/live/example.org/
 
Далее прописываем путь к вашему ключу в конфигурационный файл <code>lighttpd</code>. К примеру, кусок <code></code>:
 
<pre>
$SERVER["socket"] == ":443" {
ssl.engine = "enable"
ssl.pemfile = "/etc/letsencrypt/live/example.org/ssl1.pem"
ssl.ca-file = "/etc/letsencrypt/live/example.org/fullchain.pem"
}
</pre>
 
Перезапускаем web-сервер:
 
$ rc-config start lighttpd
 
Открываем сайт в браузере и любуемся результатом. :-) -- [[Участник:Avp|Avp]] ([[Обсуждение участника:Avp|обсуждение]]) 19:00, 14 марта 2016 (UTC)
== Получение информации о подписанном сертификате ==