README: zminka o Nginx a o $create_chain (4ff195e3) · Commits · unix / letsencrypt-fi

README.md

+17 −1

Original line number	Diff line number	Diff line
		@@ -58,6 +58,13 @@ Pro Apache 2.4 můžete použít tyto direktivy v souboru `httpd.conf`:
		SSLCertificateKeyFile /etc/pki/tls/private/zverinec.cz.key
		```

		Třeba pro Nginx zas použijte tyto direktivy:

		```
		ssl_certificate /etc/pki/tls/certs/zverinec.cz-bundle.crt
		ssl_certificate_key /etc/pki/tls/private/zverinec.cz.key
		```

		* Ověřte si úroveň bezpečnosti konfigurace SSL, například dle návodu na <https://www.fi.muni.cz/tech/unix/ssl-apache.html> (zakázání slabých šifer, zranitelných protokolů a podobně).

		* Vytvořte přesměrování URL `/.well-known/acme-challenge` na server `fadmin.fi.muni.cz`. Pro Apache 2.4 můžete použít následující direktivu
		@@ -68,6 +75,14 @@ v souboru `httpd.conf`:

		```

		A pro Nginx zas následovnou:

		```
		location ~ ^/\.well-known/acme-challenge/ {
		return 302 https://fadmin.fi.muni.cz/$request_uri;
		}
		```

		* Alternativně místo tohoto přesměrování a HTTP validace můžete použít
		DNS validaci. V případě hostname pod `.fi.muni.cz` prostě napište
		na `unix@fi`, že chcete použít DNS validaci. V případě vlastní domény
		@@ -87,7 +102,8 @@ adresářů a povolte k němu přístup přes SSH z počítače `thetis.fi.muni.

		* Ve skriptu je na začátku konfigurace, kde můžete upravit například
		jiné umístění souboru s certifikáty nebo příkazu
		pro znovunačtení konfigurace HTTPS serveru.
		pro znovunačtení konfigurace HTTPS serveru. Dle potřeby také upravte
		generování bundle certifikátu (`$create_chain`).

		* Nyní už zbývá jen požádat `unix@fi` o vystavení certifikátu. K žádosti přiložte
		dříve vygenerovaný certificate request – soubor `zverinec.cz.csr`: