Versionen im Vergleich

Alte Version 3

changes.mady.by.user Olaf Salchow

Gespeichert am

verglichen mit

Neue Version 4

changes.mady.by.user Olaf Salchow

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Codeblock
~# certbot run -d domains
~# certbot certonly -d domains [--pre-hook script --post-hook script --deploy-hook script --csr csr.pem]
  • run - erzeugt die Zertifikats-Dateien und installiert sie im angegebenen Webserver (apache oder nginx) wenn diese in der Konfiguration angegeben wurden.
  • certonly - erzeugt die Zertifikats-Dateien ohne weitere Verarbeitung. 
  • domains ist der Servername oder eine Komma-separierte Liste von Servernamen, für den das Zertifikat ausgestellt wird. Der erste Name in der Liste ist der Zertifikatsname, wenn nicht mit der Option --cert-name Zertifikatsname ein anderer Name angegeben wird.
  • mit --pre-hook kann ein Script angegeben werden, welches vor dem Erzeugen neuer oder Erneuern bestehender Zertifikate ausgeführt wird. Werden für mehrere Zertifikate das selbe Script ausgeführt, wird es nur einmal gestartet.
  • mit --post-hook kann ein Script angegeben werden, welches nach dem Erhalt neuer oder erneuerter Zertifikate ausgeführt wird. Werden für mehrere Zertifikate das selbe Script ausgeführt, wird es nur einmal gestartet.
  • mit --deploy-hook kann ein Script angegeben werden, welches für jedes erfolgreich ausgestellte oder erneuerte Zertifikat ausgeführt wird. Damit ist eine automatische Weiterverarbeitung und Verteilung von Zertifikaten für andere als die direkt unterstützten Webserver möglich. Dem Script werden die Umgebungsvariablen $RENEWED_LINEAGE (Pfad, in dem das erneuerte Zertifikat bereitgestellt wird, standardmäßig /etc/letsencrypt/live/servername.h2.de) und $RENEWED_DOMAINS (komma-separierte Liste der Domains des erneuerten Zertifikates)
  • mit --csr kann eine Zertifikats-Request-Datei angegeben werden. Damit bleibt der private Schlüssel zu jedem Zeitpunkt auf dem eigenen Server.

Die Zertifikate werden standardmäßig unter /etc/letsencrypt/live/Zertifikatsname verlinkt und stehen dort zur weiteren Verarbeitung/Verteilung zur Verfügung.


Automatische Neuausstellung ablaufender Zertifikate

Zum Erneuern von certbot verwalteter Zertifikate dient der Befehl

Codeblock
~# certbot renew [--pre-hook script --post-hook script --deploy-hook script --reuse-key]

Dieser Befehl prüft, für welche Zertifikate 2/3 der Nutzungsdauer abgelaufen sind (bzw. welche in den nächsten 30 Tagen ablaufen bei älteren certbot-Versionen) und erneuert für diese die Zertifikate. Werden keine Zertifikate erneuert, tut der Befehl nichts weiter. Er kann also regelmäßig (täglich oder wöchentlich) per cron aufgerufen werden.

  • --reuse-key gibt an, dass beim Erneuern der aktuelle Oprivate Schlüssel gültig bleibt