Versionen im Vergleich

Alte Version 6

changes.mady.by.user Olaf Salchow

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user Olaf Salchow

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Codeblock
~# certbot run -d domains
~# certbot certonly -d domains [--pre-hook script --post-hook script --deploy-hook script --csr csr.pem]
  • run - erzeugt die Zertifikats-Dateien und installiert sie im angegebenen Webserver (apache oder nginx) wenn diese in der Konfiguration angegeben wurden.
  • certonly - erzeugt die Zertifikats-Dateien ohne weitere Verarbeitung. 
  • domains ist der Servername oder eine Komma-separierte Liste von Servernamen, für den das Zertifikat ausgestellt wird. Der erste Name in der Liste ist der Zertifikatsname, wenn nicht mit der Option --cert-name Zertifikatsname ein anderer Name angegeben wird.
  • mit --pre-hook kann ein Script angegeben werden, welches vor dem Erzeugen neuer oder Erneuern bestehender Zertifikate ausgeführt wird. Werden für mehrere Zertifikate das selbe Script ausgeführt, wird es nur einmal gestartet. 
  • mit --post-hook kann ein Script angegeben werden, welches nach dem Erhalt neuer oder erneuerter Zertifikate ausgeführt wird. Werden für mehrere Zertifikate das selbe Script ausgeführt, wird es nur einmal gestartet.
  • mit
    • -
  • -
    • deploy
  • -
    • hook kann ein Script angegeben werden, welches für jedes erfolgreich ausgestellte oder erneuerte Zertifikat ausgeführt wird. Damit ist eine automatische Weiterverarbeitung und Verteilung von Zertifikaten für andere als die direkt unterstützten Webserver möglich. Dem Script werden die Umgebungsvariablen $RENEWED_LINEAGE (Pfad, in dem das erneuerte Zertifikat bereitgestellt wird, standardmäßig /etc/letsencrypt/live/servername.h2.de) und $RENEWED_DOMAINS (komma-separierte Liste der Domains des erneuerten Zertifikates)
  • mit --csr kann eine Zertifikats-Request-Datei angegeben werden. Damit bleibt der private Schlüssel zu jedem Zeitpunkt auf dem eigenen Server.

Die Zertifikate werden standardmäßig unter /etc/letsencrypt/live/Zertifikatsname verlinkt und stehen dort zur weiteren Verarbeitung/Verteilung zur Verfügung.

Scripte, die in der Verzeichnissen /etc/letsencrypt//renewal-hooks abgelegt werden

Automatische Neuausstellung ablaufender Zertifikate

...

  • --reuse-key gibt an, dass beim Erneuern der aktuelle Oprivate Schlüssel gültig bleibt private Schlüssel gültig bleibt 
  • mit --deploy-hook kann ein Script angegeben werden, welches für jedes erfolgreich erneuerte Zertifikat ausgeführt wird. Damit ist eine automatische Weiterverarbeitung und Verteilung von Zertifikaten für andere als die direkt unterstützten Webserver möglich. Dem Script werden die Umgebungsvariablen $RENEWED_LINEAGE (Pfad, in dem das erneuerte Zertifikat bereitgestellt wird, standardmäßig /etc/letsencrypt/live/servername.h2.de) und $RENEWED_DOMAINS (komma-separierte Liste der Domains des erneuerten Zertifikates) mitgegeben. 
  • mit --pre-hook bzw. --post-hook können jeweils Scripte angegeben werden, die vor bzw nach der Erneuerung der Zertifikate ausgeführt werden (typischerweise Webserver stoppen / starten oder Konfiguration neu einlesen).

Scripte, die in der Unterverzeichnissen pre, post oder deploy von /etc/letsencrypt/renewal-hooks/ abgelegt werden, werden automatisch in den etsprechenden entsprechenden Hooks in alphabetischer Reihenfolge ausgeführt ohne extra in der Kommandozeile angegeben zu werden.

...