Versionen im Vergleich

Alte Version 2

changes.mady.by.user Olaf Salchow

Gespeichert am

verglichen mit

Neue Version 3

changes.mady.by.user Olaf Salchow

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Die Konfiguration erfolgt in einer Datei (standardmäßig /etc/letsencrypt/cli.ini), in welche wichtige Paramter festgelegt werden können, die dann nicht mehr an der Kommandozeile angegeben werden müssen. Auf diese Konfiguration kann verzichtet werden, wenn die entsprechenden Werte jedes mal beim Ausstellen eines Zertifikates in der Kommandozeile angegeben werden.

Ein Beispiel:

Codeblock
# Use ECC for the private key
key-type = ecdsa
elliptic-curve = secp384r1

# Use a 4096 bit RSA key instead of 2048
rsa-key-size = 4096

# wich authenticator to use? apache / nginx / webroot / standalone
authenticator = standalone

# agree to Terms of Service of the Harica-ACME-Server
agree-tos = true

# contact-Data of administrator
email = admin.name@h2.de

# ACME-Server
server = https://acme-v02.harica.gr/acme/id-of-the-service/directory
eab-kid = keyidofadminwithoutquotes
eab-hmac-key = hmac-keyofadminwithoutquotes

Wird ein anderer authenticator als standalone gewählt, dann kann für den entsprechenden Webserver die Zertifikatsausstellung und  verarbeitung (Eintragen in Webserverkonfiguration) automatisiert werden. Voraussetzung dafür ist, dass das Webserverkonfigurationsverzeichnis für den Aufrufer von certbot beschreibbar ist. Die erforderlichen Daten für den ACME Server werden mit dem entsprechenden Account bereitgestellt.


Erstes Ausstellen eines Serverzertifikates

So vorbereitet kann das erste Serverzertifikat mit einer der beiden Befehle erzeugt werden:

Codeblock
~# certbot run -d domains
~# certbot certonly -d domains [--deploy-hook script --csr csr.pem]
  • run - erzeugt die Zertifikats-Dateien und installiert sie im angegebenen Webserver (apache oder nginx) wenn diese in der Konfiguration angegeben wurden.
  • certonly - erzeugt die Zertifikats-Dateien ohne weitere Verarbeitung. 
  • domains ist der Servername oder eine Komma-separierte Liste von Servernamen, für den das Zertifikat ausgestellt wird. Der erste Name in der Liste ist der Zertifikatsname, wenn nicht mit der Option --cert-name Zertifikatsname ein anderer Name angegeben wird.
  • mit --deploy-hook kann ein Script angegeben werden, welches für jedes erfolgreich ausgestellte oder erneuerte Zertifikat ausgeführt wird. Damit ist eine automatische Weiterverarbeitung und Verteilung von Zertifikaten für andere als die direkt unterstützten Webserver möglich.
  • mit --csr kann eine Zertifikats-Request-Datei angegeben werden. Damit bleibt der private Schlüssel zu jedem Zeitpunkt auf dem Server.

Die Zertifikate werden standardmäßig unter /etc/letsencrypt/live/Zertifikatsname verlinkt und stehen dort zur weiteren Verarbeitung/Verteilung zur Verfügung.


Automatische Neuausstellung ablaufender Zertifikate