Let’s Encrypt – zdarma HTTPS certifikáty pro Raspberry Pi

Publikováno , autor:
Let's Encrypt_

Let’s Encrypt je bezplatná certifikační autorita (CA), která vydává SSL/TLS certifikáty umožňující zabezpečené připojení přes HTTPS. Díky ní lze snadno a automaticky chránit webové stránky proti odposlechu a podvržení dat. Certifikáty jsou důvěryhodné pro všechny moderní prohlížeče a obnovují se automaticky.

K čemu se využívá

Let’s Encrypt se nejčastěji používá pro:

  • Zabezpečení webového serveru (např. Nginx, Apache, Lighttpd)
  • Šifrování komunikace mezi uživatelem a serverem
  • Získání lepšího hodnocení SEO a důvěry u návštěvníků

Na Raspberry Pi 5 je možné Let’s Encrypt použít stejně jako na běžném serveru – ideálně pomocí nástroje Certbot.

Instalace Let’s Encrypt (Certbot) na Raspberry Pi

Níže uvedený postup funguje pro Raspberry Pi OS (Debian Bookworm / Bullseye).

Aktualizace systému

sudo apt update && sudo apt upgrade -y

Instalace Certbotu

Pro Nginx:

sudo apt install certbot python3-certbot-nginx -y

Pro Apache:

sudo apt install certbot python3-certbot-apache -y

Získání certifikátu

Pokud máš doménu nasměrovanou na IP adresu Raspberry Pi (např. mojedomena.cz):

Pro Nginx:

sudo certbot --nginx -d mojedomena.cz -d www.mojedomena.cz

Pro Apache:

sudo certbot --apache -d mojedomena.cz -d www.mojedomena.cz

Certbot automaticky upraví konfiguraci webového serveru a povolí HTTPS.

Automatické obnovování certifikátů

Let’s Encrypt certifikáty jsou platné 90 dní, ale Certbot je umí automaticky obnovovat.
Obnovu můžeš otestovat příkazem:

sudo certbot renew --dry-run

Certbot se obvykle sám přidá do cron nebo systemd timeru, takže není nutné další nastavení.

Manuální konfigurace Nginx (pokud nepoužíváš automatiku)

Pokud si chceš konfiguraci upravit ručně, ověř, že Nginx používá správné cesty k certifikátu:

sudo nano /etc/nginx/sites-available/default

Ujisti se, že obsahuje např.:

server {
    listen 443 ssl;
    server_name mojedomena.cz www.mojedomena.cz;

    ssl_certificate /etc/letsencrypt/live/mojedomena.cz/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/mojedomena.cz/privkey.pem;

    root /var/www/html;
    index index.html index.php;
}

Poté zkontroluj konfiguraci a restartuj server:

sudo nginx -t
sudo systemctl reload nginx
  • Pro lokální testování bez domény lze použít self-signed certifikát (např. pomocí openssl).
  • Pokud běží Raspberry Pi za routerem, je nutné přesměrovat porty 80 (HTTP) a 443 (HTTPS).
  • Můžeš využít DuckDNS nebo jinou dynamickou DNS službu, pokud nemáš statickou IP.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *