... | ... | @@ -62,11 +62,12 @@ SSL muss auf dem Host terminiert werden - Zertifikate kann man mit `acme.sh` - [ |
|
|
|
|
|
z.b. ein Zertifikat für 2 vhosts erstellen (subAltName im DNS):
|
|
|
|
|
|
acme.sh --issue -d weimarnetz.segfault.gq -d hopglass.segfault.gq --webroot /var/www/challenges
|
|
|
acme.sh --issue -d mycontainer.bau-ha.us -d meinedomain.de --webroot /var/www/challenges
|
|
|
|
|
|
vorher muss aber der vhost und das let's encrypt challenges verzeichnis unter der domain über http erreichbar sein.
|
|
|
|
|
|
wir haben `*.bau-ha.us` als wildcard im DNS, also `projektfoo.bau-ha.us` funktioniert of the box.
|
|
|
~~wir haben `*.bau-ha.us` als wildcard im DNS, also `projektfoo.bau-ha.us` funktioniert of the box.~~
|
|
|
TODO: Let's Encrypt Wildcard Certs - dafür brauchen wir DNS-Zugriff für bau-ha.us.
|
|
|
|
|
|
kostenlose domains mit vollem dns gibt es bei freenom.com (nicht fürchterlich seriös, aber tut)
|
|
|
|
... | ... | @@ -78,7 +79,7 @@ $ cat /etc/nginx/sites-enabled/weimarnetz |
|
|
server {
|
|
|
listen 80;
|
|
|
# ohne server_name geht nix, wir sortieren nach dem host header.
|
|
|
server_name hopglass.segfault.gq weimarnetz.segfault.gq;
|
|
|
server_name hopglass.weimarnetz.de;
|
|
|
|
|
|
# das ist für let's encrypt und acme.sh
|
|
|
# bei acme.sh --webroot /var/www/challenges als parameter mitgeben.
|
... | ... | @@ -87,7 +88,7 @@ server { |
|
|
}
|
|
|
|
|
|
# wenn man für einen host eine weiterleitung auf https haben möchte.
|
|
|
if ($host = "hopglass.segfault.gq") {
|
|
|
if ($host = "hopglass.weimarnetz.de") {
|
|
|
rewrite ^ https://$server_name$request_uri? redirect;
|
|
|
}
|
|
|
|
... | ... | @@ -106,13 +107,14 @@ server { |
|
|
server {
|
|
|
# http2 hat einige vorzüge bezüglich geschwindigkeit.
|
|
|
listen 443 ssl http2;
|
|
|
server_name hopglass.segfault.gq weimarnetz.segfault.gq;
|
|
|
server_name hopglass.weimarnetz.de;
|
|
|
|
|
|
# der pfad zum zertifikat mit acme.sh erstellbar z.b.
|
|
|
# acme.sh --issue -d weimarnetz.segfault.gq -d hopglass.segfault.gq --webroot /var/www/challenges
|
|
|
ssl_certificate /root/.acme.sh/weimarnetz.segfault.gq/fullchain.cer;
|
|
|
ssl_certificate_key /root/.acme.sh/weimarnetz.segfault.gq/weimarnetz.segfault.gq.key;
|
|
|
ssl_trusted_certificate /root/.acme.sh/weimarnetz.segfault.gq/ca.cer;
|
|
|
# acme.sh --issue -d hopglass.weimarnetz.de --webroot /var/www/challenges
|
|
|
# fixme: use acme.sh install functionality for reloads see: https://acme.sh
|
|
|
ssl_certificate /root/.acme.sh/hopglass.weimarnetz.de/fullchain.cer;
|
|
|
ssl_certificate_key /root/.acme.sh/hopglass.weimarnetz.de/weimarnetz.segfault.gq.key;
|
|
|
ssl_trusted_certificate /root/.acme.sh/hopglass.weimarnetz.de/ca.cer;
|
|
|
# braucht man für oscp-stapling (speeed!)
|
|
|
# https://blog.cloudflare.com/ocsp-stapling-how-cloudflare-just-made-ssl-30/
|
|
|
resolver 8.8.8.8 8.8.4.4 valid=300s;
|
... | ... | |