Tot op heden heb ik voor deze site altijd een self signed certificaat gebruikt. Maar met de tijd wordt het gebruik van self signed certificaten behoorlijk afgeraden en browsers geven om de haverklap waarschuwingen. Nu is Let’s Encrypt al enige tijd actief en het is een goede optie voor een gratis certificaat van een CA die in elke grote browser aanwezig is.

Enige nadeel is dat de certificaten maar 90 dagen geldig zijn. Maar daar staat tegenover dat het aanvragen en vernieuwen erg eenvoudig is.

Als eerste stap de backports voor Debian Stretch toegevoegd:

# vi /etc/apt/sources.list
# aptitude update

Daarna certbot geïnstalleerd uit de backports:

# apt-get install certbot python-certbot-apache -t stretch-backports

Als dat gedaan is kan ik een certificaat voor www.zomaarr.nl:

# certbot certonly --webroot -w /var/www/html/zomaarr.nl -d www.zomaarr.nl

Om te controleren of ik eigenaar ben van het domein, heb ik gekozen voor het plaatsen van een document in de webroot. Tijdens het proces wordt een verborgen directory aangemaakt met een challenge, die directory wordt na afloop keurig netjes weer verwijderd. Voor nu gekozen voor maar 1 domeinnaam. Ik kan altijd later nog besluiten om voor alle domeinen een SAN certificaat aan te vragen. Overigens, tegenwoordig kan bijna elke browser met SNI overweg, dus voor mij is het ook geen probleem om per domein een eigen certificaat te gebruiken.

Tot slot nog de configuratie van de webserver aanpassen en een herstart om het nieuwe certificaat actief te maken.

# vi /etc/apache2/sites-enabled/zomaarr.nl
# apache2ctl -t
Syntax OK
# apache2ctl restart