Das Let’s Encrypt Projekt (hinter dem unter anderem Mozilla, Facebook und Cisco als Sponsoren stecken) ist gestern in den Public Beta Betrieb übergegangen. Von nun an können nach belieben kostenlose TLS (aka SSL)-Zertifikate für die eigenen Domains erstellt werden. Für den Erhalt eines Zertifikats sind nur wenige, einfache Schritte erforderlich, die ich im Folgenden erkläre:
Let’s Encrypt nutzt ein Protokoll namens „ACME“ zur Kommunikation mit den CA-Servern. Ich habe den Referenz-ACME-Client „Certbot“ von LE genutzt – um den soll es hier gehen. Außerdem wird der Client in dieser Anleitung direkt auf dem Zielserver ausgeführt – das ist die einfachere Methode. Wer den Client nicht auf dem Zielserver der Domains ausführen will oder kann (oder den laufenden Webserver-Betrieb nicht unterbrechen will), kann alternativ den „Manual Mode“ verwenden. Eine Anleitung zum Manual Mode gibt es hier.
Certbot ACME-Client installieren
Schaltet euch (als root!) via SSH auf euren Server auf und installiert zuerst Certbot:
git clone https://github.com/certbot/certbot cd certbot
Zertifikate abholen
Bevor der Client gestartet werden kann, muss der Webserver auf dem Host kurz abgeschaltet werden, damit Port 80 für den Certbot zur Verfügung steht. Danach kann es mit der Zertifikatsanfrage weitergehen:
./certbot-auto certonly --standalone --rsa-key-size 4096 -d thomas-leister.de -d www.thomas-leister.de
Die „certonly“ Option sorgt dafür, dass die Zertifikate nur abgeholt und gespeichert werden und nicht automatisch in vorhandene Webserver-Konfigurationen eingebunden werden. Es ist mir lieber, die Webserver-Konfiguration selbst von Hand vorzunehmen, statt sie automatisch ändern zu lassen. Außerdem ist aktuell noch keine zuverlässige Auto-Konfiguration für meinen Nginx-Webserver verfügbar.
Mit dem –rsa-key-size Parameter wird die Länge für den zu generierenden RSA Private Key auf 4096 Bits gesetzt (statt der standardmäßig gesetzten 2048 Bit). Danach folgen mit „-d“ die Domains, für die das Zertifikat gelten soll. Vor jede Domain wird ein „-d“ gestellt.
Nach Eingabe der E-Mail Adresse und der Zustimmung zu den Nutzungsbedingungen (nur einmalig!) wird das gewünschte Zertifikat vom ACME-Server abgeholt und in /etc/letsencrypt/live/[domain] gespeichert. Dort liegen vier verschiedene Dateien:
- cert.pem (Das öffentliche Zertifikat in Reinform)
- chain.pem (Öffentliches Zertifikat aus der sog. Keychain)
- fullchain.pem (entspricht cert.pem + chain.pem)
- privkey.pem (Der private Schlüssel)
Welches Zertifikat nun wofür? Das hängt vom Webserver ab. Mein Nginx-Webserver benötigt nur zwei Zertifikatsdateien: Das öffentliche Zertifikat inkl. Keychain (fullchain.pem) und das den privaten Schlüssel (privkey.pem). Die Nginx-Konfiguration sieht also so aus:
ssl_certificate /etc/letsencrypt/live/thomas-leister.de/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/thomas-leister.de/privkey.pem;
Apache benötigt 3 Dateien für eine korrekte TLS-Konfiguration: cert.pem, chain.pem und privkey.pem. Eine Konfiguration könnte z.B. so aussehen:
SSLEngine on SSLCertificateFile /etc/letsencrypt/live/thomas-leister.de/cert.pem SSLCertificateChainFile /etc/letsencrypt/live/thomas-leister.de/chain.pem SSLCertificateKeyFile /etc/letsencrypt/live/thomas-leister.de/privkey.pem
[Update]: (Danke @Maurice) Ab Apache 2.4.8 (ab Ubuntu 15.04 vivid) sollte auf das „SSLCertificateChainFile“ verzichtet werden, und stattdessen (ähnlich wie bei Nginx) nur „SSLCertificateFile“ mit „fullchain.pem“ statt cert.pem genutzt werden:
SSLEngine on SSLCertificateFile /etc/letsencrypt/live/thomas-leister.de/fullchain.pem SSLCertificateKeyFile /etc/letsencrypt/live/thomas-leister.de/privkey.pem
Nachdem die Webserver-Konfiguration angepasst wurde, könnt ihr euren Webserver wieder starten und prüfen, ob die TLS-Zertifikate ordnungsgemäß funktionieren. Das war’s auch schon!
Vergesst nicht, dass Let’s Encrypt Zertifikate nur 90 Tage lang gültig sind und nach diesem Zeitraum (besser schon vorher!) erneuert werden müssen. Dazu stellt ihr einfach noch einmal eine Zertifikatsanfrage (wie oben) und willigt dem Widerruf der alten Zertifikate ein. Die Webserver-Konfiguration muss nicht umgestellt werden.
Eine vollständige Dokumentation zum offiziellen Let’s Encrypt Client findet ihr übrigens hier: https://certbot.eff.org/docs/
Moin moin,
einen Hinweis zu Apache:
SSLCertificateChainFile ist deprecated, auch bei Apache sollte man das fullchain.pem nutzen (welches Zertifikat + alle Chains enthält).
Dieses ist mit SSLCertificateFile einzubinden.
Referenz: https://httpd.apache.org/docs/2.4/mod/mod_ssl.html#SSLCertificateChainFile
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Danke für den Hinweis, Maurice! Hab den Beitrag aktualisiert.
LG Thomas
Moin,
das funktioniert aktuell mit Letsencrypt nicht, gerade getestet. Wie ursprünglich richtig in der Anleitung stehend muss man folgendes verwenden:
SSLCertificateFile /etc/letsencrypt/live/$DOMAIN/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/$DOMAIN/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/$DOMAIN/chain.pem
Siehe: https://community.letsencrypt.org/t/solved-why-isnt-my-certificate-trusted/2479
Ganz vergessen: Mal wieder ein dickes Danke für die Anleitung, Thomas!
https://www.intux.de
Wie funktioniert das Ganze beim Hoster seiner Wahl? Wie erstellt man in diesem Fall ein entsprechendes Zertifikat?
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi Intux,
gute Frage. Ich hab mich mal eben schlau gemacht und einen „manual Mode“ entdeckt, bei dem der Server nicht online sein muss, um das Zertifikat zu erhalten. Die Authentifizierung scheint dann über den Upload einer besonderen Datei zu funktionieren. Genauer habe ich mir das noch nicht angesehen. Manual Mode siehe hier: https://letsencrypt.readthedocs.org/en/latest/using.html#plugins
Siehe auch hier: https://community.letsencrypt.org/t/shared-hosting-use-lets-encrypt-without-ssh-access/2725/6
https://www.intux.de
Danke erst einmal für die Links. Obwohl die Laufzeit von 90 Tagen schon sehr dürftig ist.
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hab den Manual Mode inzwischen erfolgreich getestet. Eine Anleitung dazu gibt es hier: https://legacy.thomas-leister.de/internet/lets-encrypt-zertifikate-im-manual-mode-abholen/
LG Thomas
https://netzklad.de/
Bei All-Inkl geht das so (bei anderen abgewandelt sicher ähnlich):
https://netzklad.de/2015/12/lets-encrypt-im-shared-hosting/
Schöne Grüße,
Frank
Das man den Server kurz abschalten muss, ist nicht so optimal gelöst. :-(
Auch das man wohl nicht die üblichen Angaben (Ort etc.) machen kann, ist nicht schön.
Anscheinend ist die Lösung doch nur Hobby-Server geeignet. Hätte man mehr raus machen können.
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Das liegt daran, dass man für die Validierung Personenbezogener Daten (Inhaber, Ort etc) Personal einstellen (=> Kosten!) muss, das diese Daten kontrolliert. Solche Dinge lassen sich nicht so einfach automatisieren, wie eine einfache Domainvalidierung.
LG Thomas
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Wegen dem Server abschalten: Das hat sich mit dem „Manual Mode“ (siehe in den Kommentaren hier) auch erledigt. Damit kann man nämlich Certs erhalten, ohne dass der Client auf dem Zielserver ausgeführt werden muss. Den LE Client kann man dann zB. auf seinem Laptop laufen lassen.
LG Thomas
Leider funktioniert das bei mir mit dem „manual“ Modus nicht. Er prüft noch immer den DNS-Eintrag bei mir auf der Testmaschine.
Das funktioniert natürlich nicht und bricht ab.
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi, dann bin ich ja nicht der einzige, bei dem das nicht wie erwartet funktioniert hat. Vorgestern habe ich den manual mode kurz (erfolglos) getestet und bin dann wieder auf den normalen Modus zurückgewechselt. Wenn ich mehr Zeit habe sehe ich mir den manual Mode vielleicht nochmal an.
LG Thomas
Kann man das nicht ohne die beschriebene Software im Apache2 konfigurieren? Das kann man dann pro VirtualHost konfigurieren oder ggf. sogar unter conf.enabled…
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Ich habe eine Anleitung zum Manual Mode veröffentlich. Vielleicht hilft dir das: https://legacy.thomas-leister.de/internet/lets-encrypt-zertifikate-im-manual-mode-abholen/
LG Thomas
http://maltris.org/
Hi,
entschuldige die dreiste Frage:
Schickst du mir einen Invite?
Oder gibts sowas nicht? :D
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi, Invites gibt es nicht. Warte gerade selber wieder, weil ich für eine andere Domain noch Certs brauche … ;) LG Thomas
Hi Thomas,
ich komme nicht in den .well-known Ordner rein über den Browser.
Weißt du woran das liegen könnte?
Im SSH bzw. FTP sehe ich den Ordner…
Danke dir schonmal und Glückwunsch zu deinem SSL Zertifikat ;-)
Hi Thomas,
Jetzt wo also ein Zertifikat hast. Was denkst du über HTTP/2.
Ist da auch ein Artikel geplant wie man den Webserver fit macht?
Grüsse Simon
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi Simon,
HTTP2 ist eine interessante Sache – allerdings ist die Unterstützung dafür noch sehr gering (und man braucht z.B. eine sehr aktuelle Nginx-Version, wie sie sie bisher nur sehr wenige Repos haben). Sobald HTTP2 breiter Unterstützt ist, gibt es dazu vielleicht einen Beitrag. Im großen und ganzen gibt es aber nicht viel einzustellen. Mit Nginx braucht man zum Beispiel nur eine aktuelle Version und ein zusätzliches Attibut in der Konfiguration. Das ließe sich auch schnell ducken/googeln/… ;)
LG Thomas
http://www.gogozone.de
super Anleitung. Mein nginx Server läuft nun mit ssl ;-)
bei mir läuft debian 8 – die befehle fknt da nicht. für welches linux ist die anleitung? und wie muss ich vorgehen?
lg hardy
konnte die dateien erstellen. aber wie muss ich nun mit den datein umgehen die in /etc/letsencrypt/live/[domain] liegen?
habe ein plesk 12.5 mit debian 8 (vserver)
kann mir jemand bitte genau erklären wie es nun weiter geht?
LG Hardy
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Was Plesk angeht kann ich dir leider nicht weiterhelfen.
LG Thomas
in welcher datei werden denn sonst ohne plesk die einträge vorgenommen – nginx / apache?
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Kommt ganz auf den Webserver an und wie du deine Konfiguration vornimmst. Idr. unter /etc/nginx/nginx.conf oder /etc/apache2/sites-available/ (… und dort die jeweilige Konfigurationsdatei für den vHost suchen)
LG Thomas
Unter Plesk 12 kann man Let’s Encrypt als Erweiterung (unter dem Menüpunkt Erweiterungen) installieren. Lässt sich danach für jede Domain / Subdomain anwenden
http://www.middicomhd.de
Moin, ich habe mehrere vHosts auf meinem Server… Kann ich mit dem einen Befehl und „-d -d -d“ für alle vHosts ein Zertifikat holen oder müsste ich den „./letsencrypt-auto certonly“ dann mehrere male ausführen ?
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Ein Zertifikat kannst du mit der Automatik nur für die Domains abholen, die auf den Host zeigen, auf dem der LE Client läuft. Die Domains werden von LE überprüft. Überprüft LE eine Domain, die auf einen Host zeigt, auf der der anfragende LE Client nicht läuft, schlägt die Domainbestätigung fehl.
Wenn du mehrere Hosts mit mehreren Domains nutzt, kann du dir diesen Beitrag mal ansehen: https://legacy.thomas-leister.de/internet/lets-encrypt-acme-challenge-responses-sammeln/
LG Thomas
http://www.middicomhd.de
Danke für die schnelle Antwort, das Problem hat sich jedoch von selbst gelöst.
Wissen Sie wie ich eine Subdomain nachträglich zu dem Zertifikat hinzufügen kann oder müsste ich es neu anfordern?
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Bei jeder Änderung (z.B. zusätzliche Subdomain) muss ein neues Zertifikat angefordert werden.
LG Thomas
Servus, gibt es eine Möglichkeit das sich sich die Zertifikate per Cronjob automatisch verlängern lassen? 90 Tage sind ja nicht wirklich viel… Kann man die Zertifikate auch zur Mailverschlüsselung hernehmen? Oder funktionieren die Zertifikate nur mit Webservern?
Danke schon mal im voraus!
Gruß aus München
Jan
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Verlängern kannst du Zertifikate nicht – aber du kannst dir natürlich via Cronjob neue Zertifikate holen. So ist das von Let’s Encrypt auch vorgesehen. Die Zertifikate sind TLS-Zertifikate und können nicht mit S/MIME verwendet werden (aber z.B. für Webserver und Mailserver)
LG Thomas
Da ist das grüne Schloss, genial, Thomas!
privkey.pem ist wie der Name schon sagt der private Schlüssel, kein Zertifikat. Sogar die Konfigurationsdateien bezeichnen es als Schlüssel (SSLCertificateKeyFile, ssl_certificate_key). Bitte im Artikel anpassen.
Hallo Thomas,
ich nehme an, dass der Webserver für das regelmäßige neu holen der Zertifikate auch jedes mal kurzzeitig gestoppt werden muss?
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi Achim, genau, so ist es. Wenn du automatisiert mit einem Script Zertifikate erneuern willst, stoppst du zuerst den Webserver, holst dann die Zertifikate und startest ihn neu. Nicht nur, damit der Webserver mit den neuen Zertifikaten arbeiten kann, sondern vor allem, weil der LE Client auf Port 80 arbeiten will, der sonst vom Webserver blockiert wird.
http://mitteilungszwang.com
Hi,
kann man dem Clienten nicht beibringen auf einen anderen Port zu lauschen? Wer stoppt schon gerne den Webserver?
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Soweit ich weiß, geht das nicht, denn auch die LE-Server gehen von Port 80 aus.
Hallo Thomas,
ich hatte deinen Beitrag bereits vor ein paar Wochen gefunden, aber mittlerweise auch einige andere Beiträge gelesen. Bei fefe und serverpedia weisen die Authoren darauf hin, dass der Authomatismus des Let’s Encrypt Client auch ein Risiko darstellt. Hier die entsprechenden Berichte:
https://blog.fefe.de/?ts=a89f4ed6
https://www.serverpedia.de/lets-encrypt-gratis-ssl-zertifikate-frei-haus/
Was ist deine Meinung dazu? Sind die beiden eher übervorsichtig oder sollte man doch lieber gut überlegen, ob man Let’s Encrypt einsetzt?
Super Anleitung! Die Sicherheitseinstellungen können noch etwas erweitert werden:
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/thomas-leister.de/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/thomas-leister.de/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf
Header always set Strict-Transport-Security „max-age=15768000; includeSubDomains; preload“
Quelle:
https://mozilla.github.io/server-side-tls/ssl-config-generator/
Der offizielle LE-Client kann eigentlich auch einen existierenden Webserver benutzen, der Apache-Server muss eigentlich nicht mehr abgeschaltet werden.
Edit: Das funktioniert mit der Option –webroot [Pfad zum Webroot].
Das vollständige Kommando sieht dann so aus:
letsencrypt certonly –rsa-key-size 4096 –webroot -w [Pfad zum Webroot (häufig /var/www oder /var/www/html)] -d [domain1] -d [domain2]
Danke Thomas, für die einfache Erklärung. Damit bin ich super zurecht gekommen.
Jetzt laufen meine Zertifikate noch nicht so lang (eine Woche), dass ich sie verlängern könnte. Daher eine Frage.
Würde ich das mit „/usr/local/letsencrypt/letsencrypt-auto renew“ per cronjob erledigen können? Momentan bekomme ich nur die Mitteilung nach den per Hand ausgeführten Task, dass es offensichtlich noch zu früh ist.
The following certs are not due for renewal yet:
/etc/letsencrypt/live/www.domainn.de/fullchain.pem (skipped)
No renewals were attempted.
Ist der Aufruf so korrekt? Und ab wann kann man sinnvollerweise die Erneuerung starten?
Danke und Gruß
Axel
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi Axel,
der Aufruf ist so korrekt. Let’s Encrypt erneuert nur nicht, weil es noch nicht sinnvoll ist. Die Zertifikate wurden ja kürzlich erst ausgestellt. Mit
letsencrypt-auto --force-renewal renewkann man eine Erneuerung dennoch erzwingen. Die Zertifikate laufen 90 Tage lang. Nach 80 Tagen zu erneuern finde ich sinnvoll. So bleibt einem im Notfall noch ein bisschen Frist, bis die Zertifikate tatsächlich auslaufen.Update: Zu deiner Frage, ob du via cronjob erneuern lassen kannst: Ja, das sollte Problemlos funktionieren. Die LE Entwickler haben speziell darauf geachtet, dass man das möglichst automatisieren kann.
Hey Thomas, danke für deine Antwort Wenn ich „letsencrypt-auto –force-renewal“ ausführe laufe ich in einen Dialog. Hier habe ich nicht weitergemacht.
Was mich noch interessiert ist, wann kann denn frühestens erneuern? Nach 60 Tagen? Ich möchte es halt nur mal checken, ob wirklich alles läuft um mich dann darauf verlassen zu können. Ich stimme dir zu, 80 Tage finde ich auch ok.
Viele Grüße
Axel
https://legacy.thomas-leister.de/ueber-mich-und-blog/
letsencrypt-auto --force-renewalwird nicht funktionieren – du musst am Ende noch ein „renew“ anhängen ;) Wann man frühestens Erneuern kann (ohne force und ohne einen Hinweis zu bekommen) weiß ich nicht.Dankeschön :-)
Wieder mal ein großes Dankeschön für die Arbeit.
Cronjob habe ich so angelegt:
30 03 23 */3 * root /usr/local/letsencrypt/letsencrypt-auto –force-renewal renew
und hoffe, dass es so am 23 Tag aller drei Monate funktioniert.
Nach etlichen Versuchen hatte es funktioniert unter anderem auch auf dem Webspace. Die Ausgabe im Terminal lässt zu Wünschen übrig (PuTTY).
Zuweisung bei i-MSCP: (Es ist empfehlenswert unter Windows Notepad++ zu verwenden, die Inhalte der Dateien müssen in die jeweiligen Textboxen eingefügt werden.)
• Inhalt aus privkey1.pem in das Feld >Privater Schlüssel< Eintragen
• Inhalt aus fullchain1.pem, erster Abschnitt (BEGIN CERTIFICATE … END CERTIFICATE) in das Feld »Zertifikat« eintragen
• Inhalt aus fullchain1.pem, zweiter Abschnitt (BEGIN CERTIFICATE … END CERTIFICATE) in das Feld »"Intermediate"-Zertifikat(e)« eintragen
Nachteil dieser Variante ist die fehlende automatische Aktualisierung der Zertifikate, dafür können die Zertifikate auch auf "normalen" Webspace verwendet werden.
Hey Top Post!
Hat zuletzt super geklappt.
Allerdings scheinen sie jetzt den Client geändert zu haben – auf „certbot“.
Könntest du den Artikel dazu aktualisieren
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Danke für den Hinweis, das habe ich noch nicht mitbekommen. Wird gleich aktualisiert. LG Thomas
Hi,
vielen Dank für detaillierte Anleitung.
Vielleicht könntest du noch die Möglichkeit des automatisierten „renew“ von LE mit einbauen.
Eine Frage habe ich aber noch:
Ich habe einen RasPi 2 als Projekt-Webserver laufen, der aber nur mit einem Port >10000 läuft. Auf Port 80 habe ich (auch kurzfristig) keinen Zugriff. Gibt es da irgendwie die Möglichkeit das LE beizubiegen?
Hab leider bisher keine befriedigende Lösung dafür gefunden.
Gruß, Flo
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi Flo,
soweit ich wei lässt sich das nicht ändern. Die LE-Server werden immer auf Port 80 mit dem LE-Client / deinem Server kommunizieren.
LG Thomas
Hi Thomas,
ich freue mich immer, wenn ich auf der Suche nach einer Antwort, deinen Namen beim Googlen sehe. Vielen Dank für die Zeit und Mühe, die du in diese Seite investierst. Ich habe bei Lets Encrypt den Fehler gemacht und meine „seriöse“ E-Mail Adresse angegeben. Nachdem Let´s Encrypt (wahrscheinlich) schön geredete 7100 Adressen geleakt hat, ist meine leider nicht mehr zu gebrauchen. Ich denke mal, auf Grund der Namen, die hinter Lets Encrypt stehen, bin ich nicht alleine Blauäugig in diese Lage geraten. Und das obwohl ich sehr viel Wert auf meine Daten lege und es eigentlich hätte besser wissen müssen. Deswegen kann ich nur dazu raten, sich mehrere Adressen, nicht nur für LE, mit Weiterleitung einzurichten. Im Notfall kann man immer nen Cut machen. Eine meiner Hauptadressen ist jetzt jedenfalls futsch. Das nur so als kleine Info, für Leute, die bis hier her gescrollt haben.
Gruß, Marco
https://www.middicom.de
Hi,
weiß du zufällig ob man die bei der Installation von Let`s Encrypt angegebene Mail-Adresse nachträglich ändern kann ?
https://legacy.thomas-leister.de/ueber-mich-und-blog/
Hi, nein, dazu weiß ich nichts.
Hallo,
deine Anleitungen sind super, vielen Dank erstmal :)
Was certbot angeht finde ich es schöner wenn der Webserver dazu nicht heruntergefahren werden muss, eventuell kannst du die Möglichkeit dazu noch hier oder separat mit aufnehmen. Ich komme zwar selbst erst später zum testen, es soll laut Doku aber wie hier beschrieben funktionieren: https://certbot.eff.org/docs/using.html#webroot
Dazu vielleicht noch den passenden Cronjob („/certbot/certbot-auto renew –quiet –no-self-upgrade“) wegen der 90 Tage Gültigkeit und die Welt wär wieder ein klein wenig schöner :)
LG Slim
http://www.4sale-fashion.de
Wo findet man die „Admin Rechte“ um die Befehle für die Installation auszuführen?
Ich würde gern mal erfahren, welche Erfahrungen ihr nun gemacht habt. Taugt das und ist es zuverlässig? Klappt das Erneuern auch automatisch. Wie sieht das Risiko aus. Immerhin werden die Zertifikate dort generiert, wo man sie lieber nicht hätte. Kann ja sein, dass ich zu wenig Ahnung habe, aber für irgendwelche Dienste wäre es wohl einfach zu entschlüsseln, wenn der Aussteller den privaten Key anliefert.
Zitat: „Bevor der Client gestartet werden kann, muss der Webserver auf dem Host kurz abgeschaltet werden, damit Port 80 für den Certbot zur Verfügung steht.“
Ich kann damit nichts anfangen. Soll der Host disabled werden, oder Apache gestoppt werden. Wie lange? Mir fehlt da doch etwas das Wissen. Kann jemand das mal genauer beschreiben? Wäre sehr nett.
Anleitung ist – wenn es geht – wirklich perfekt.
Hallo, vielen Dank für die Anleitung. Ist es möglich nachträglich die Domain zu ändern für die das Zertifikat gilt bzw. eine hinzuzufügen? Wenn ja, wie?
Vielen Dank