1

Onderwerp: SSL-certificaat op subdomein

Ik heb een SSL-certificaat aangeschaft voor een subdomein (gemakshalve noem ik 'm eigen.domein.com). Ik heb van de provider vier bestanden gekregen:
AddTrustExternalCARoot.crt
COMODORSAAddTrustCA.crt
COMODORSADomainValidationSecureServerCA.crt
eigen_domein_com.cer

Op https://www.linode.com/docs/security/ss … ian-ubuntu las ik een voorbeeld installatie in /etc/apache2/sites-available/example.com.conf, maar daar is slechts "plaats" voor twee bestanden. Hoe installeer ik deze bestanden?

Vriendelijke groet,
Guido

Re: SSL-certificaat op subdomein

Hoi Guido,

https://community.letsencrypt.org/t/apa … ample/2338

Ik begrijp eignelijk niet waarom je een certificaat gekocht hebt. Die dingen zijn nu gratis met Let's encrypt. Tevens heb je het meest rottige certificaat gekocht, want het heeft twee authenticatie paden, vandaar ook die hele bundel aan certicaten.  Ik zou ziets doen als:

cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt  COMODORSADomainValidationSecureServerCA.crt COMODORSADomainValidationSecureServerCA.crt COMODORSADomainValidationSecureServerCA.crt > comodo-bundle.crt .

Deze defineren onder: SSLCertificateChainFile
dan eigen_domain_com.cer onder: SSLCertificateFile

Vergeet ook niet om je vhost te laten auditten door ssllabs wanneer deze werkt op: http://ssllabs.com/

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: SSL-certificaat op subdomein

Hoi Devtroll,

Ik heb niet zo'n pet op van Let's Encrypt. Vandaar dat ik deze gekocht heb.
Je laatste zin begrijp ik niet. Kun je me daarover iets meer vertellen?

Vriendelijke groet,
Guido

Re: SSL-certificaat op subdomein

SSL alleen is niet goed genoeg. SSL is tegenwoordig zelfs TLS. SSL is een protocol wat hopeloos gebroken is. Daarom is het beste om even een scan uit te voeren nadat je alles TLS settings heb gezet. Zie https://www.ssllabs.com/ssltest/analyze … edlinux.nl . Laatste vraag, wat is er mis met LE?

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: SSL-certificaat op subdomein

Mijn wantrouwen t.o.v. LE heb ik iets te bot neergezet. Het was voornamelijk gebaseerd op een negatieve ervaring van 2 jaar geleden (of zoiets).
Inmiddels heb ik besloten het aangeschafte certificaat vooralsnog niet te gebruiken en eerst LE te installeren. De installatie daarvan verliep dit keer zonder problemen.
Ik sluit dit topic nu.

Vriendelijke groet,
Guido

6

Re: SSL-certificaat op subdomein

Jammer. Had er graag wat meer van geweten...

7

Re: SSL-certificaat op subdomein

Om even terug te komen op je originele vraag. de eerste stap met je verkregen certificaten is idenficeren wat-wat is. je <domain>.cer zal waarschijnlijk je eigen certificaat zijn. de andere certificaten zijn om de trust chain compleet te maken.
Dat gezegt. Verschillende applicaties hebben verschillende manieren om de certificaten te gebruiken. maar wat het meest handige is.
Voor apache heb je een key file en een certificate file nodig. bij een trust chain verwacht apache dat je de chain certificaten samen voegt. deze kan je dan vervolgens aangeven in apache met
"SSLCertificateChainFile <path/naar/bestand>"
Als je hebt gekozen voor 2weg SSL (Client auth) dan moet je het juiste CA bestand aangeven met "SSLCACertificateFile <path/naar/bestand>"

De meeste providers van certificaten hebben overigens wel ergens op hun site. zo voor comodo:

https://support.comodo.com/index.php?/c … ew/637/66/

veel suc6

ps. LE is fantastisch wink

1+1=3

spam: admin@glgaming.com

Re: SSL-certificaat op subdomein

Flash schreef:

ps. LE is fantastisch wink

Mijn sceptische houding t.o.v. LE is tot nog toe ongegrond gebleken. Het zal wel te maken hebben gehad met het beginstadium van LE. Het draait nu goed.

Vriendelijke groet,
Guido

Re: SSL-certificaat op subdomein

Let wel op dat je de renewal effies moet cronjob'en.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: SSL-certificaat op subdomein

devtroll schreef:

Let wel op dat je de renewal effies moet cronjob'en.

Kun je me dat leren? smile

11 Laatst bewerkt door devtroll (07 Nov 2017 21:56:48)

Re: SSL-certificaat op subdomein

Er van uitgaande dat je de git-repo van letsencrypt in /opt/letsencrypt hebt geinstalleerd, wil je twee bestanden in /etc/cron.d/ e n van uitgaande dat je nginx hebt geinstalleerd. verander het wordt nginx naar httpd of naar apache2 (Debian smaak).

1. /etc/cron.d/le-renew
00 2 * * 1 root /opt/letsencrypt/letsencrypt-auto renew

2. /etc/cron.d/le-reload-nginx
15 6 * * 1 root /bin/systemctl reload nginx


De eerste cronjob trapt elke maandag een renewal proces af. De tweede job trapt 4 uur later je webserver om de nieuwe certificaten in te laden. Als je dat niet doet, dan verlopen je certificaten en krijg je een dikke TLS error in je browser.

ACAB: All computers are broken. https://medium.com/message/everything-i … e5f33a24e1 "I've decided that you need gray hair and hemorrhoids to be a consultant.
The gray hair makes you look distinguished & the hemorrhoids make you look concerned."

Re: SSL-certificaat op subdomein

Mijn dank is zeer groot!

Vriendelijke groet,
Guido