Hei hei, On Tue, Jan 03, 2017 at 11:56:16AM +0100, Martin Steigerwald wrote: > Ich hab derzeit den Certbot einmal manuell Zertifikate erstellen lassen. Ich > plane das aber im Zuge der Umstellung von Apache 2 auf Nginx zu > automatisieren. Dabei möchte ich jedoch nicht, dass Certbot oder ein anderes > Werkzeug irgendetwas an meiner Webserver-Konfiguration ändert. Genau so hab ich das auch gern. Zertifikat erneuern, ggf. Webserver reloaden und gut. Kein extra Webserver o.ä., d.h. es kommt die Variante über "webroot" zum Einsatz. > Ich weiß, es gibt viele HOWTOs für Debian, aber ich möchte gerne mal wissen: > > Was funktioniert für Dich? Nimmst Du Certbot mitsamt der ganzen Abhängigkeiten > oder das letsencrypt.sh? Wie hast Du es automatisiert? Welches HOWTO war für > Dich am hilfreichsten? Ich hab selbst eins geschrieben. ;-) http://blog.antiblau.de/2016/10/21/letsencrypt-mit-acme-sh-und-lighttpd/ Ich bin mit dem Setup aber noch nicht so zufrieden. Speziell weil acme.sh eben kein Debian-Paket ist und es da auch (noch?) keins gibt. > Bezüglich der Migration von Apache auf Nginx plane ich, den Nginx auf einem > anderen Port parallel laufen zu lassen, bis ich mit der neuen Konfiguration > zufrieden bin. Ich hab hier lighttpd und davor noch nginx als reverse proxy, was es etwas komplexer macht. Siehe Teil 2 und 3 der Artikelserie. ;-) Ich hab mir aber auch die schon für Debian 9 verfügbaren Pakete für letsencrypt angeschaut, da ich das noch woanders brauche. Bisheriges Ergebnis meiner Untersuchungen, Stand Herbst 2016: * letsencrypt.sh/dehydrated: beschissene Doku, völlig unklar, wie das zu konfigurieren ist * acme.sh: kein Debian-Paket, aber konnte ich ansonsten leicht einrichten und es läuft soweit, s.o. * acme-tiny: warf Fehler obwohl die challenge laut webserver log abgefragt wurde, hab's nicht weiter debuggt * certbot: gar nicht angeschaut, viel zu fett * lego: nur in sid, nicht in stretch, daher nicht näher angeschaut * acmetool: noch nicht angeschaut * lacme: noch nicht angeschaut Ich werde mir auf jeden Fall noch die beiden letztgenannten ansehen, sobald ich Zeit dafür finde. Stand ist wie gesagt Herbst 2016, vielleicht hat sich da ja noch was getan seitdem?! Grüße Alex -- »With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably.« (Jean-Luc Picard, quoting Judge Aaron Satie) *** GnuPG-FP: C28E E6B9 0263 95CF 8FAF 08FA 34AD CD00 7221 5CC6 ***
Attachment:
pgp2WYCEAFSZL.pgp
Description: PGP signature