Heimrouter ein LE-Zertifikat verpaßt

Seit län­ge­rem schon wer­den die gro­ßen Brow­ser immer ping­li­ger bei Zer­ti­fiak­ten: Selbst­si­gnier­te mögen sie nicht, neu­er­dings sol­che mit Lauf­zei­ten von > 395 Tagen, wenn der CN bzw. SAN nicht stim­men; wer weiß, was nächs­ten Monat passiert.

Also habe ich es nun end­lich in Angriff genom­men: Dem Rou­ter­chen im Kel­ler ein sau­be­res Zer­ti­fi­kat geben. Da ich sowie­so schon über­all ein Wild­card für *.sokoll.com ver­wen­de, war­um nicht für den Rou­ter? Also zunächst im DNS den Rou­ter bekannt machen (eigent­lich fin­de ich pri­va­te Adres­sen im DNS uncool, aber nun ja)

~$ host homerouter.sokoll.com
homerouter.sokoll.com has address 192.168.1.254
~$

Das war schon mal einfach!
Nun noch schnell das Zer­ti­fi­kat rüber­schie­ben. Das macht dann der Raspi daneben:

root@r4:~/bin# cat le_for_router.sh
#!/bin/sh
rsync -aL big.sokoll.com:/etc/dehydrated/certs/wildcard_sokoll.com/{fullchain,privkey}.pem /tmp/
cat /tmp/privkey.pem /tmp/fullchain.pem > /tmp/server.pem
rsync -a /tmp/server.pem 192.168.1.254:/etc/lighttpd/ 2>/dev/null
ssh 192.168.1.254 'kill -SIGINT $(cat /var/run/lighttpd.pid) ; /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf' 2>/dev/null
rm /tmp/*.pem
root@r4:~/bin#

Dum­mer­wei­se inter­es­siert ein SIGHUP den ligh­ty über­haupt nicht, so daß man ihn töten und hin­ter­her neu star­ten muß. Das gan­ze wird dann ein­mal täg­lich via cron aufgerufen.
Ich soll­te noch etwas verschönern:Wenn sich das Zer­ti­fi­kat nicht geän­dert hat, kann man eigent­lich gleich nach dem ers­ten rsync aufhören.
Das wird dann Ver­si­on 0.0.1 😉

 

0

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.