Steeds meer websites gaan gebruik maken van https om het verkeer tussen de webbrowser en de server te beveiligen. Tot recent kostte het aanvragen van een ssl certificaat geld, om dit toegankelijker te maken is mens het letsencrypt-initiatief gestart. Dit is een dienst waarmee je gratis voor ieder domein een certificaat kan aanvragen.
Een certificaat die verkregen is middels letsencrypt is 3 maanden geldig. Daarna moet het certificaat worden bijgewerkt. Om dit eenvoudig te houden zijn hiervoor meerdere tools ontwikkelt. De standaard tool die hiervoor gebruikt wordt is certbot, maar er zijn ook andere cliënts beschikbaar, een lijst is te vinden op https://letsencrypt.org/docs/client-options/
Met certbot is het eenvoudig certificaten te genereren en in de toekomst automatisch bij te werken, middels een maandelijks draaiende cronjob.
Als certbot is geïnstalleerd kan als volgt voor een vhost een certificaat aangemaakt worden,
certbot certonly --webroot -w /var/www/www.itxplain.nl -d www.itxplain.nl
Je moet schrijfrechten hebben tot de webdirectory van 't domein, omdat op deze manier gecontroleerd wordt of je hiervan in 't bezit bent.
De gegenereerde certificaten worden geplaatst in /etc/letsencrypt/live/www.itxplain.nl/
Voor het vernieuwen van gegenereerde certificaten is het volgende commando,
certbot renew
Als de certificaten zijn gegenereerd kan de apache config er bijvoorbeeld alsvolgt uitzien,
<VirtualHost *:443>
ServerName www.itxplain.nl
DocumentRoot /var/www/www.itxplain.nl
AssignUserID itxplain itxplain
<Directory "/var/www/www.itxplain.nl">
AllowOverride All
Order allow,deny
Allow from all
</Directory>
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.itxplain.nl/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.itxplain.nl/privkey.pem
</VirtualHost>