Inhaltsverzeichnis

Let's encrypt

letsencrypt

SSL / https

Installation: https://letsencrypt.readthedocs.org/en/latest/using.html#installation

Achtung: Die Domains müssen in der jeweiligen Apache-Configdatei angegeben sein. Also z.B. in /etc/apache2/sites-enabled # ls nachbestellservice.conf :

ServerAlias nachbestellservice.de nachbestellservice.com *.nachbestellservice.de *.nachbestellservice.com www.nachbestellservice.de www.nachbestellservice.com

bzw: nano /etc/apache2/sites-enabled/000-default-le-ssl.conf

Zertifikat anfordern & installieren:

/root/letsencrypt/letsencrypt-auto -d nachbestellservice.de -d www.nachbestellservice.de -d nachbestellservice.com -d www.nachbestellservice.com --no-redirect

Wildcards (*) sind (noch) nicht erlaubt.

Eine neue Domain zum alten Zertifikat hinzufügen

certbot certonly --cert-name  www.foto-und-kind.com -d foto-kind.net,foto-und-kind.com,foto-und-kind.de,foto-und-kind.eu,www.foto-und-kind.eu,foto-und-kind.org,fotoaktion.foto-und-kind.com,fotoundkind.de,photo-und-kind.de,schatzkiste.foto-und-kind.com,www.foto-kind.net,www.foto-und-kind.com,www.foto-und-kind.de,www.foto-und-kind.org,www.fotoundkind.de,www.photo-und-kind.de,foto-und-kind.at,www.foto-und-kind.at,fotoaktion.foto-und-kind.com,schatzkiste.foto-und-kind.com

(Bei Veränderungen der Domainliste (z.B. weil eine Subdomain dazukommt, muss die ganze Liste eingegeben werden, sonst vergisst er die alten Einträge. Dann frägt er, ob er die Liste erweitern soll).

Crontab:

@weekly certbot renew --quiet

ALT:

https://skrilnetz.net/how-to-get-free-ssl-certificates-on-ubuntu/

@monthly /root/letsencrypt-renew-certs.sh >/dev/null

letsencrypt-renew-certs.sh:

#!/bin/bash
#

# renews the certs every month
#  nachbestellservice
# --no-redirect
/root/letsencrypt/letsencrypt-auto -d nachbestellservice.de -d www.nachbestellservice.de -d nachbestellservice.com -d www.nachbestellservice.com --apache certonly
# gerwiki
# --redirect
/root/letsencrypt/letsencrypt-auto -d gerwiki.de -d www.gerwiki.de --apache certonly

# reload apache
service apache2 reload

authenticator

authenticator = apache

Es gibt im Prinzip 5 Auth-Methoden: apache(oder nginx wenn dieser Webserver), webroot, standalone, DNS oder manual

Bei mir war das auf webroot gestellt. Darum ging es nicht bei ein paar Domains (gespeichert in /etc/letsencrypt/renewal/*.conf) Dabei erwartet der Authenticator eine Datei best. in .well-known/webroot/. Die war natürlich nicht da…

Allerlei

Jan 2019: Ich verwendet noch Debian 8. Backport von Certbot funktionierte nicht. Auf der Certbot-Seite https://certbot.eff.org/ ist zu lesen, dass es so viele techn. Änderungen gab, dass man den Certbot von der Debian-apt entfernen soll und ihn via wget so installieren soll. Das ist dann certbot-auto, das genau so funktioniert. Bei mir hab ich das in /root/certbot/ installiert und auch den @weekly-crontab entsprechend geändert. Uff! Ich musste das machen, weil mein Certbot eine inzwischen unsichere Verschlüsselung verwendet, die Mitte Februar abgeschaltet wird.