Let’s encrypt: Plugin ‘webroot’
Der Aufbau
Let’s Encrypt Client
Der Let’s Encrypt Client läuft auf dem gleichen Server wie ein vom SSL-Terminator erreichbarer Webserver.
SSL-Terminator / HTTP(S)-Proxy
Der SSL-Terminator ist ein Webserver, der
- der nach außen der HTTPS-Endpunkt ist
- der Anfragen an die eigentlichen Webserver weiterleitet
Puppet
Ist das Werkzeug der Wahl, um den SSL-Terminator zu konfigurieren.
Der Ablauf
- Der Let’s Encrypt Client schickt einen CSR zum Let’s Encrypt Server
- Der Let’s Encrypt Server schickt alle Daten für die Challenge zurück
- Das Let’s Encrypt Client Plugin
webrootspeichert diese Daten lokal im Web-Root Verzeichnis - Der Let’s Encrypt Client schickt dem Let’s Encrypt Server die Nachricht, dass er jetzt bereit sei für die Überprüfung.
- Der Let’s Encrypt Server schickt einen HTTP GET an den SSL-Terminator.
- Der SSL-Terminator leitet die Anfrage an den Webserver weiter, auf dem der Let’s Encrypt Client die Daten für die Challenge abgelegt hat.
- Das Let’s Encrypt Client Plugin
- Der Let’s Encrypt Server schickt das signierte Zertifikat.
- Der Let’s Encrypt Client speichert das Zertifikat samt Private Key in einem Repository, das vom Puppet erreicht werden kann.
- Puppet rollt das Zertifikat auf dem SSL-Terminator aus.
export http_proxy="http://myproxy:3128/"
export https_proxy="http://myproxy:3128/"
mkdir -p ./sshfs_mount
sshfs -o allow_root mywebserver:/var/www/www.failover.de/ ./sshfs_mount/
cd examples && ./my_generate-csr.sh www.failover.de failover.de ; cd -
sudo ./letsencrypt-auto certonly --renew-by-default --agree-tos -a webroot --webroot-path ./sshfs_mount/ --csr ./examples/CSR/www.failover.de.csr.der -d failover.de -d www.failover.de --cert-path ./examples/CRT/
fusermount -u ./sshfs_mount
rm -r ./sshfs_mount