Wie installiere ich ein Let's-Encrypt-SSL-Zertifikat von Platzhaltern in Amazon Lightsail?

Kurzbeschreibung

Die folgende Auflösung umfasst die Installation eines Platzhalter-SSL-Zertifikats von Let's Encrypt für Websites, die in einer Lightsail-Instance gehostet werden, die keinen Bitnami-Stack verwendet. Beispiele für diese Instance-Blueprints sind Amazon Linux 2, Ubuntu usw. Wenn Sie einen anderen Instance-Blueprint haben oder ein Standardzertifikat installieren möchten, lesen Sie eine der folgenden Informationen:

Standard-Let's-Encrypt-Zertifikate

Informationen zur Installation eines Standard-SSL-Zertifikats von Let's Encrypt (kein Platzhalter) in einer Lightsail-Instance, die keinen Bitnami-Stack verwendet, wie Amazon Linux 2, Ubuntu usw., finden Sie unter Wie installiere ich ein Standard-SSL-Zertifikat von Let's Encrypt in einer Lightsail-Instance?

Informationen zur Installation eines Standard-SSL-Zertifikats von Let's Encrypt (kein Platzhalter) in einer Lightsail-Instance mit einem Bitnami-Stack wie WordPress, LAMP, Magento usw. finden Sie unter Wie installiere ich ein Standard-SSL-Zertifikat von Let's Encrypt in einem auf Amazon Lightsail gehosteten Bitnami-Stack?

Let's-Encrypt-Zertifikate von Platzhaltern (z. B. *.example.com)

Informationen zur Installation eines Platzhalter-Zertifikats von Let's Encrypt in einer Lightsail-Instance mit einem Bitnami-Stack wie WordPress, Lamp, Magento, MEAN usw. finden Sie unter Wie installiere ich ein Platzhalter-SSL-Zertifikat von Let's Encrypt in einem Bitnami-Stack, der auf Amazon Lightsail gehostet wird?

Auflösung

Die Schritte zur Installation eines Platzhalter-SSL-Zertifikats von Let's Encrypt auf Ihrer Lightsail-Instance hängen davon ab, welchen DNS-Anbieter Ihre Domäne verwendet. Um festzustellen, welche Methode verwendet werden soll, überprüfen Sie, ob Ihr DNS-Anbieter in der Cerbot-DNS-Liste in DNS-Plugins aufgeführt ist. Wählen Sie dann die geeignete Methode aus:

Methode 1: Verwenden Sie diese Methode, wenn Ihre Domäne einen der aufgelisteten DNS-Anbieter verwendet.

Methode 2: Verwenden Sie diese Methode, wenn Ihre Domäne keinen der aufgelisteten DNS-Anbieter verwendet.

Methode 1

Voraussetzungen und Einschränkungen

• Die folgenden Schritte betreffen die Installation des Zertifikats auf dem Server. Sie müssen zusätzliche Schritte manuell ausführen, z. B. das Konfigurieren des Webservers für die Verwendung des Zertifikats und das Einrichten der HTTPS-Umleitung.
• Die Domäne muss einen der in der Certbot-DNS-Liste aufgeführten DNS-Anbieter verwenden.

Hinweis: Diese Methode erfordert die Installation des Certbot-Tools, bevor Sie beginnen. Installationsanweisungen finden Sie unter Wie installiere ich das Certbot-Paket in meiner Lightsail-Instance für die Installation von Let's Encrypt?

Im folgenden Beispiel ist der DNS-Anbieter Amazon Route 53. Anweisungen für andere unterstützte DNS-Anbieter finden Sie unter DNS-Plugins.

1.    Erstellen Sie einen AWS Identify and Access Management (IAM)-Benutzer mit programmatischem Zugriff. Für die Mindestberechtigungen, die an den IAM-Benutzer angehängt werden müssen, damit Certbot die DNS-Herausforderung abschließen kann, siehe certbot-dns-route-53.

2.    Führen Sie die folgenden Befehle in der Instance aus, um die Datei /root/.aws/credentials im Nano-Editor zu öffnen.

sudo mkdir /root/.aws
sudo nano /root/.aws/credentials

3.    Kopieren Sie die folgenden Zeilen in die Datei. Speichern Sie die Datei dann, indem Sie Strg+x, dann y und dann die EINGABETASTE drücken.

Ersetzen Sie im folgenden Befehl aws_access_key_id durch die in Schritt 1 erstellte Zugriffsschlüssel-ID. Ersetzen Sie aws_secret_access_key durch den in Schritt 1 erstellten geheimen Zugriffsschlüssel.

[default]
aws_access_key_id = AKIA************E
aws_secret_access_key = 1yop**************************l

4.    Erstellen Sie ein Let's-Encrypt-Zertifikat auf dem Server. Ersetzen Sie example.com durch Ihren Domänennamen.

Wenn Ihre Domänen Amazon Route 53 als DNS-Anbieter verwenden, führen Sie den folgenden Befehl aus:

sudo certbot certonly --dns-route53 -d example.com -d *.example.com

Nachdem das SSL-Zertifikat erfolgreich generiert wurde, erhalten Sie die Meldung „Zertifikat erfolgreich erhalten“. Das Zertifikat und die wichtigsten Dateispeicherorte werden ebenfalls bereitgestellt. Speichern Sie diese Dateispeicherorte zur Verwendung in Schritt 6 in einem Notizblock.

5.    Richten Sie die automatische Verlängerung des Zertifikats ein. Wenn das Certbot-Paket mit snapd installiert wurde, wird die Verlängerung automatisch in Systemd-Timern oder Cronjobs konfiguriert.

Wenn die BS-Verteilung Amazon Linux 2 oder FreeBSD ist, wird das Certbot-Paket nicht mit snapd installiert. In diesem Fall müssen Sie die Verlängerung manuell konfigurieren, indem Sie den folgenden Befehl ausführen:

echo "30 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew" | sudo tee -a /etc/crontab > /dev/null

6.    Nur die Installation und Erneuerung des Zertifikats ist abgeschlossen. Sie müssen Ihren Webserver weiterhin für die Verwendung dieses Zertifikats konfigurieren und die HTTPS-Umleitung einrichten. Diese Konfiguration variiert und hängt vom Webserver-Setup ab, das Sie in Ihrer Instance haben. Anweisungen zum Ausführen dieser Schritte finden Sie in der Dokumentation Ihres Webservices.

Methode 2

Voraussetzungen und Einschränkungen

• Die folgenden Schritte betreffen die Installation des Zertifikats auf dem Server. Sie müssen zusätzliche Schritte manuell ausführen, z. B. das Konfigurieren des Webservers für die Verwendung des Zertifikats und das Einrichten der HTTPS-Umleitung.
• Die automatische Zertifikatserneuerung wird bei dieser Methode nicht unterstützt.

Hinweis: Diese Methode erfordert die Installation des Certbot-Tools, bevor Sie beginnen. Installationsanweisungen finden Sie unter Wie installiere ich das Certbot-Paket in meiner Lightsail-Instance für die Installation von Let's Encrypt?

1.    Diese Methode erfordert das Hinzufügen von TXT-Datensätzen im DNS-Anbieter der Domäne. Dieser Prozess kann einige Zeit dauern, daher ist es empfehlenswert, die Befehle im Linux-GNU-Bildschirm auszuführen, um ein Timeout der Sitzung zu verhindern. Um eine Bildschirmsitzung zu starten, geben Sie den folgenden Befehl ein:

screen -S letsencrypt

2.    Geben Sie den folgenden Befehl ein, um Certbot im interaktiven Modus zu starten. Dieser Befehl weist Certbot an, eine manuelle Autorisierungsmethode mit DNS-Herausforderungen zu verwenden, um den Domänen-Besitz zu überprüfen. Ersetzen Sie example.com durch Ihren Domänennamen.

sudo certbot certonly --manual --preferred-challenges dns -d example.com -d *.example.com

3.    Sie erhalten eine Aufforderung, zu überprüfen, ob Sie die angegebene Domäne besitzen, indem Sie TXT-Einträge zu den DNS-Einträgen für Ihre Domäne hinzufügen. Let's Encrypt stellt entweder einen einzelnen oder mehrere TXT-Datensätze zur Verfügung, die Sie zur Überprüfung verwenden müssen.

4.    Wenn Sie einen TXT-Eintrag auf dem Bildschirm sehen, fügen Sie zuerst den bereitgestellten Datensatz in das DNS Ihrer Domäne ein. DRÜCKEN SIE NICHT DIE EINGABETASTE, bis Sie bestätigen, dass der TXT-Datensatz an Internet-DNS weitergegeben wird. DRÜCKEN Sie außerdem NICHT STRG+D, da dies die aktuelle Bildschirmsitzung beendet.

5.    Um zu bestätigen, dass der TXT-Datensatz an Internet-DNS weitergegeben wurde, schauen Sie bei DNS Text Lookup nach. Geben Sie den folgenden Text in das Textfeld ein und wählen Sie TXT Lookup, um die Prüfung auszuführen. Ersetzen Sie unbedingt example.com durch Ihre Domäne.

_acme-challenge.example.com

6.    Wenn Ihre TXT-Einträge an das DNS des Internets weitergegeben wurden, sehen Sie den TXT-Datensatzwert auf der Seite. Sie können jetzt zum Bildschirm zurückkehren und die EINGABETASTE drücken.

Hinweis: Wenn Sie aus der Shell entfernt werden, benutzen Sie den Befehl screen -r SESSIONID, um wieder reinzukommen. Holen Sie sich die Sitzungs-ID, indem Sie den Befehl screen -ls ausführen.

7.    Wenn Sie in der Certbot-Eingabeaufforderung aufgefordert werden, einen weiteren TXT-Datensatz hinzuzufügen, führen Sie die Schritte 4 -7 erneut aus.

8.    Nachdem das SSL-Zertifikat erfolgreich generiert wurde, erhalten Sie die Meldung „Zertifikat erfolgreich erhalten“. Das Zertifikat und die wichtigsten Dateispeicherorte werden ebenfalls bereitgestellt. Speichern Sie diese Dateispeicherorte zur Verwendung im nächsten Schritt in einem Notizblock.

9.    Nur die Installation und Erneuerung des Zertifikats ist abgeschlossen. Sie müssen Ihren Webserver weiterhin für die Verwendung dieses Zertifikats konfigurieren und die HTTPS-Umleitung einrichten. Diese Konfiguration variiert und hängt vom Webserver-Setup ab, das Sie in Ihrer Instance haben. Anweisungen zum Ausführen dieser Schritte finden Sie in der Dokumentation Ihres Webservices.

---