User Tools

Site Tools


Sidebar

strutture:lnf:dr:calcolo:acme

Server ACME per certificati Let's Encrypt

DELEGA DNS

Impostare una delega sul dns per i nomi per cui si chiede il certificato verso il nodo acme.

Nella zona lnf.infn.it cercare la stringa "DELEGHE PER ACME CHALLENGE LET'S ENCRYPT", aggiungere un record:

_acme-challenge.NOMENODO IN NS acme

GENERAZIONE CERTIFICATO HOST

Imposta il nome del certificato:

CRTNAME=`hostname -f`

Entra nella directory dei certificati:

cd /etc/pki/tls/

Generazione chiave privata:

openssl genrsa 4096 > private/$CRTNAME.key && chmod 600 private/$CRTNAME.key

Richiesta per nome singolo:

openssl req -new -sha256 -key private/$CRTNAME.key -subj "/C=IT/ST=Rome/L=Frascati/O=INFN/OU=LNF/CN=$CRTNAME" -out certs/$CRTNAME.csr

Richiesta per nomi multipli:

openssl req -new -sha256 -key private/$CRTNAME.key -subj "/C=IT/ST=Rome/L=Frascati/O=INFN/OU=LNF/CN=$CRTNAME" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:yoursite.com,DNS:www.yoursite.com")) -out certs/$CRTNAME.csr 

Copiare la csr sul server acme:

scp certs/$CRTNAME.csr root@acme.lnf.infn.it:/var/acme/inbox.csr/

Aspetta qualche secondo… e scarica i certificati firmati:

cd /usr/local/bin
curl -fO http://acme.lnf.infn.it/update-acme-local-certs
chmod +x update-acme-local-certs
cd -
update-acme-local-certs /etc/pki/tls/certs && systemctl reload SERVICE SERVICE SERVICE ...

CRONTAB

Aggiungi la seguente riga al crontab:

0 0 * * mon update-acme-local-certs /etc/pki/tls/certs && systemctl reload SERVICE SERVICE SERVICE ....
strutture/lnf/dr/calcolo/acme.txt · Last modified: 2017/05/22 06:55 by dmaselli@infn.it