2023-11-05, Waran

Nejjednodušší cesta k SSL bez nutnosti platit za komerční certifikát je použít Let`s Encrypt. V následujícím postupu se dozvíte, jak nainstalovat LE certifikát na server s GroupWare Carbonio CE.

Instalace Certbot

Pro instalaci nejnovější verze Certbot použijte následující sérii příkazů:

apt install snapd
snap install --classic certbot
ln -s /snap/bin/certbot /usr/bin/certbot
certbot --version

Pomocí příkazu „certbot“ vygenerujte certifikát:

certbot certonly --standalone --agree-tos --renew-by-default --email email@domena.cz --preferred-chain "ISRG Root X1" --force-renewal --key-type rsa --rsa-key-size 4096 -d domena.cz

Po vytvoření jsou všechny soubory certifikátu uloženy ve složce /etc/letsencrypt/domena.cz/:

- cert.pem
- chain.pem
- fullchain.pem
- privkey.pem
- README

Nyní zkopírujte soubor privkey.pem z /etc/letsencrypt/live/domena.cz/ do /opt/zextras/ssl/carbonio/commercial/ pomocí následujícího příkazu:

cp /etc/letsencrypt/live/domena.cz/privkey.pem /opt/zextras/ssl/carbonio/commercial/commercial.key

Následně zkopírujte ostatní soubory do složky /tmp/:

cp /etc/letsencrypt/live/domena.cz/cert.pem /tmp
cp /etc/letsencrypt/live/domena.cz/chain.pem /tmp

Stáhněte si řetězec ISRG Root X1 a přiřaďte jej k souboru chain.pem:

wget -O /tmp/ISRG-X1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt
cat /tmp/ISRG-X1.pem >> /tmp/chain.pem

Přiřaďte oprávnění souboru commercial.key:

chown zextras:zextras /opt/zextras/ssl/carbonio/commercial/commercial.key

Následuje ověření certifikátu:

su - zextras -c "zmcertmgr verifycrt comm /opt/zextras/ssl/carbonio/commercial/commercial.key /tmp/cert.pem /tmp/chain.pem"

Berte na vědomí, že bez úspěšného ověření nelze certifikát nasadit!

Po úspěšném ověření už zbývá jen certifikát nasadit a restartovat služby:

su - zextras -c "zmcertmgr deploycrt comm /tmp/cert.pem /tmp/chain.pem"
su - zextras -c "zmcontrol restart"