Non è più necessario che nessuno debba creare i propri certificati SSL perché ora puoi ottenere il tuo certificato SSL gratuito e valido da Let's Encrypt . Questo certificato è validato solo dal dominio, pertanto non deve essere utilizzato per l'eCommerce. Il certificato emesso da Let's Encrypt può essere valido per domini primari e secondari specificati, ma Let's Encrypt non supporta ancora i certificati con caratteri jolly. OpenBSD include un client Let's Encrypt chiamato acme-client
.
NOTA: ricorda di sostituire example.org
con il tuo dominio .
Configura il /etc/acme-client.conf
file di configurazione.
# cd /etc
# vi acme-client.conf
Aggiungi quanto segue al file. Il domain full chain
certificato contiene la catena SSL Let's Encrypt, utile per la convalida. Qui, useremo l'intera catena al posto di domain certificate
.
domain example.org {
alternative names { www.example.org webmail.example.org }
domain key "/etc/ssl/private/example.org.key"
domain certificate "/etc/ssl/example.org.cert"
domain full chain certificate "/etc/ssl/example.org.fullchain.cert"
sign with letsencrypt
}
Configura e avvia httpd.conf
. Il client acme utilizza un server web per eseguire le sue sfide per verificare la validità del dominio. Queste sfide devono avere successo per poter emettere un certificato valido e firmato.
server "default" {
listen on port 80
root "/htdocs"
directory index index.html
location "/.well-known/acme-challenge/*" {
root {"/acme", strip 2}
}
}
# rcctl start httpd
Tipo acme-client -ADv example.org
. ora dovresti avere un certificato SSL valido. Sarà valido per 90 giorni prima di dover eseguire nuovamente acme-client per ottenere nuovamente il certificato.
In caso di errori, assicurarsi di aver port 80
aperto sul firewall. Sarà necessario un record DNS A che si risolva example.org
nell'indirizzo IP dell'istanza Vultr.
# echo 'pass in on egress inet proto tcp from any to port 80 flags S/SA modulate state' >> /etc/pf.conf
# pfctl -f /etc/pf.conf