# Kurze Anleitung für die Einrichtung von Lets Encrypt SSL-Zertifikat bei hostnet Managed-Root Server

Dies ist eine Kurzfassung/Checkliste der **[[https://www.hostnet.de/faq/wie-kann-ich-letsencrypt-nutzen.html|offiziellen Anleitung von hostnet]]**. Sie berücksichtigt nur die Einrichtung für den Apache Webserver.

Ich gehe hier davon aus, dass bereits ein VirtualHost bzw. eine Domain in der easyTECC4 Verwaltungsoberfläche angelegt ist.

### Anlegen des Lets Encrypt Zertifikats

Hostnet stellt ein praktisches Script für die Generierung des Zertifikats bereit: ```install_le_cert```.

Damit die Validierung für das Zertifikat funktioniert, ist es wichtig, **dass die Domain/Website auf dem hostnet Server bereits aufgerufen werden kann**.

<code bash>
sudo install_le_cert -d 'www.meine-domain.de' -d 'meine-domain.de' -p '/usr/local/www/apache24/noexec/meine-domain.de' -w
</code>

Das Script legt neben dem Zertifikat auch den passenden Cronjob an (```/etc/crontab```), damit das Zertifikat automatisch verlängert wird.

<WRAP center round tip 100%>
Wenn die Domain mit und ohne www Subdomain mit einem Zertifikat ausgestattet werden sollen, müssen beide Domains mit angegeben werden.

Wichtig ist der Parameter **-w**, damit das Zertifikat nur für den Webserver erstellt wird und nicht auch für den Mailserver.
</WRAP>

### Hinzufügen vom Zertifikat zum Apache Webserver / VirtualHost

<WRAP center round important 100%>
Der Eintrag für den SSL-VirtualHost (443), muss vor dem Eintrag für den "normalen" VirtualHost (80) eingetragen werden.
</WRAP>

Editieren der ```/etc/apache24/httpd.conf``` Datei:

Am einfachsten ist es, den vorhanden VirtualHost (für http-Verbindungen, Port 80) zu kopieren und für die SSL-Verbindungen anzupassen.

<code apache>
<IfModule ssl_module>
<VirtualHost 83.138.82.229:443>
ServerAdmin webmaster@meine-domain.de
DocumentRoot /usr/local/www/apache24/noexec/meine-domain.de
ServerName www.meine-domain.de
ServerAlias meine-domain.de www.meine-domain.de

SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/www.meine-domain.de/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.meine-domain.de/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/www.meine-domain.de/chain.pem

Header always set Strict-Transport-Security "max-age=15768000"
<Files ~ "\.(cgi|shtml|pl|php|php3|php4)$">
SSLOptions +StdEnvVars
</Files>
CustomLog /home/web/log/access_log_meine-domain.de combined
</VirtualHost>
</IfModule>
</code>

<WRAP center round important 100%>
Wichtig ist es hier, die Pfade zu dem SSL-Zertifikat anzupassen. Der Ordner wo die Zertifikatdateien abgelegt werden ist immer der Domainname, der beim ```install_le_cert``` Script als erster **-d** Parameter verwendet wird.

Wenn die Vorlage von dieser Website verwendet wird, muss auch die ```IP-Adresse```, ```DocumentRoot```, ```ServerName``` und ggf. ```ServerAlias``` angepasst werden.
</WRAP>

### Reload der Apache Config

<code bash>
sudo reload_apache
</code>

~~SHORTURL~~