Let's Encrypt@Ubuntu Xenial

Submitted by admin on Sa, 04.02.2017 - 09:26

1475228361868-letsencrypt-logo-horizontal.png

Ubuntu Xenial wird als LTS Version bei produktiven Server noch eine längere Zeit eine wichtige Rolle spielen. Leider gibt es für Ubuntu Xenial nur eine veraltete Let's Enrcrypt Version in den Ubuntu Repositories. Irgendein PPA Repository zu verwenden ist auch nicht gerade eine Lösung, zudem man oft nicht weiß, wer hinter einem PPA Repository steht.

Debian ist die Lösung

Die Lösung unter Ubuntu Xenial ist die Verwendung des Debian SID Repositories für die Certbot Pakete. Da außer Python nur wenige Abhängigkeiten bestehen, funtktioniert das auch. In muss die Datei /etc/apt/sources.list.d/certbot.list erstellt werden:

deb http://cdn.debian.net/debian sid main

Damit jetzt nicht bei nächsten Update Ubuntu durch Debian SID ersetzt wird, müssen Preferences erstellt werden, ein bei Debian/Ubuntu kryptisches Thema. Mit dem File /etc/apt/preferences.d/debian-sid werden jedenfalls klare Verhältnisse geschaffen:

Package: *
Pin: release o=Debian,a=unstable,n=sid
Pin-Priority: -1

Package: python-acme
Pin: release o=Debian,a=unstable,n=sid
Pin-Priority: 500

Package: python-certbot
Pin: release o=Debian,a=unstable,n=sid
Pin-Priority: 500

Package: certbot
Pin: release o=Debian,a=unstable,n=sid
Pin-Priority: 500

Damit wird festgelegt, dass das Debian Sid Repository ausschließlich für die Certbot Pakete verwendet wird, für alles Andere bleibt das Ubuntu Xenial Repository zuständig - fast jedenfalls. Bei einer Neuinstallation eines Pakets kann man auch eine neue Version von Debian Sid erwischen, das kann durchaus zu Problemen führen. So kann man z.B. Postgresql-9.6 aus Debian Sid installieren, wenn man die Version 9.6 angibt, ohne Angabe der Version würde apt jedoch die Version 9.5 aus Xenial installieren.

Es gibt also gute Gründe, warum in der apt Dokumentation von Pinning abgeraten wird.

PGP Keys

Weiterhin muss nur der passende Debian Public Key installiert werden:

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv 7638D0442B90D010

apt install certbot

Nach einem apt update findet apt auch das Paket Certbot. Ein evtl. installiertes letsencrypt aus Ubuntu Xenial wird automatisch deinstalliert. Die vorhandenen Zertifikate und Letsencrypt Config bleiben bestehen.

Warum auf Certbot upgraden?

Let's Encrypt oder genauer der Certbot haben den Vorteil, dass man sich nicht mehr um das Update der Zertifikate kümmern muss. Damit stellen die 90 Tage Laufzeit kein Problem dar. Das alte letsencrypt Tool lässt jedoch keine Hooks zu so dass die Anwendung, die das Zertifikat nutzt, bei einem Update des Zertifikats keine Info bekommt und das alte Zertifikat weiter benutzt.

Unter Let's Encrypt wird ein Hook Skript beschrieben.

 

Tags