Kostenlose "richtige" Zertifikate für den Webserver gibts z.B. bei https://certbot.eff.org.
Für die Nutzung (Erstellen und Update) unter Debian sind einige Vorbereitungen nötig:
Vorbereitung
certbot installieren
wget https://dl.eff.org/certbot-auto
mv certbot-auto /usr/local/bin/certbot-auto
chown root /usr/local/bin/certbot-auto
chmod 0755 /usr/local/bin/certbot-auto
Aktiviere stretch backreport repo (als neue Quelle).
Damit strecht backreport gefunden und installiert werden kann muss die Datei
/etc/apt/sources.list manuell erweitert werden um die beiden Zeilen (Zeile zwei optional):
deb http://deb.debian.org/debian stretch-backports main
deb-src http://deb.debian.org/debian stretch-backports main
Ggf. müssen auch nur ein bis zwei Zeilen in der o.g. Datei auskommentiert werden.
Und Anpassungen fixieren..
apt update
Installiere Certbot:
apt-get install certbot python-certbot-apache -t stretch-backports
Zertifikate erstellen
/usr/local/bin/certbot-auto --apache
-d www.domainname.com,domainname.com
und ggf. erweitern für weitere Domains:
certbot-auto --apache --expand /usr/local/bin/
-d
www.domainname.com,domainname.com,
www.domainname2.com,domainname2.com,
Hinweis:
Beim Aufruf des Clients muss eine E-Mailadresse hinterlegt werden für Kontaktaufnahme bei Sicherheitsproblemen und zur Verlängerung des Zertifikates. Nach spätestens einer Stunden sollten die Zertifikate wie folgt vorliegen unter
/etc/letsencrypt/live/<domain-name>/
- cert.pem: Server Zertifikat
- chain.pem: Intermediate Zertifikat
- fullchain.pem: cert.pem + chain.pem
- privkey.pem: Privater Schlüssel
SSL-Zertifikat verlängern
dazu auf der Kommandozeuile eintippen:
certbot renew
oder als Test ohne Änderungen
certbot renew --dry-run
Die regelmäßige Verlängerung kann entsprechen über einen Cronjob automatisiert werden.
SSL-Zertifikat widerrufen/revozieren
Die ausgestellten Zertifikate können auch widerrufen werde
certbot delete --cert-name domainname.com