====== LETSENCRYPT ======

Doku: [[https://letsencrypt.org/docs/|https://letsencrypt.org/docs/]]

Ausgestellte Zertifikate zeigen

<code>
root@devel:/etc/letsencrypt# certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: devel.netzwissen.de
    Domains: devel.netzwissen.de gitea.netzwissen.de hugo.netzwissen.de
    Expiry Date: 2021-09-25 06:10:15+00:00 (VALID: 56 days)
    Certificate Path: /etc/letsencrypt/live/devel.netzwissen.de/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/devel.netzwissen.de/privkey.pem
  Certificate Name: devel.netzwissen.de_old
    Domains: devel.netzwissen.de gitea.netzwissen.de hugo.netzwissen.de
    Expiry Date: 2021-09-25 06:10:15+00:00 (VALID: 56 days)
    Certificate Path: /etc/letsencrypt/live/devel.netzwissen.de/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/devel.netzwissen.de/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
</code>

Zertifikate ergänzen

The way to add a domain with Certbot is to **reissue the certificate with a complete list of all of the names that should be covered in the new certificate**. There’s no command that adds a domain without the need to respecify the old names.


Zertifikate löschen
<code>
certbot delete
</code>

Danach alle neu anfordern:

<code>
certbot certonly -d lb.netzwissen.eu -d cloud.netzwissen.eu -d docker.netzwissen.eu -d forum.netzwissen.eu -d gitea.netzwissen.eu -d hedgedoc.netzwissen.eu -d login.netzwissen.eu -d mail.netzwissen.eu -d matrix.netzwissen.eu -d netzwissen.eu -d wiki.netzwissen.eu -d www.netzwissen.eu
</code>

Staging

certbot --dry-run arbeitet gegen die Staging Umgebung und hat höhere rating limits, siehe https://letsencrypt.org/docs/staging-environment/
====== LetsEncrypt für Mailserver nutzen ======

Siehe auch [[https://kofler.info/lets-encrypt-zertifikate-fuer-web-und-mail-unter-ubuntu-16-04/|https://kofler.info/lets-encrypt-zertifikate-fuer-web-und-mail-unter-ubuntu-16-04/]]

Let’s-Encrypt-Zertifikate sind grundsätzlich universell verwendbar. Allerdings muss man für die passenden Hostnamen des SMTP- und IMAP-Servers entsprechende Zertifikate anfordern. Also z.B. für mail.meine-domain.de oder imap.meine-domain.de. Der Befehl dafür lautet
<code>

''certbot --apache --staging -d www.meine-domain.de
  -d meine-domain.de -d imap.meine-domain.de
  -d smtp.meine-domain.de''

</code>

Mit –staging werden Fake Certs angelegt. Wenn alles funktioniert, den Schalter weglassen! Danach die Configs von postfix und dovecot auf den neuen Cert Pfad anpassen (''/etc/letsencrypt/live/[[http://www.meine-domain.de/|www.meine-domain.de/]]…). Falls dieser Fehler kommt
<code>

Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.

</code>

braucht man einen anderen Authentikator:

<code>
certbot --authenticator standalone --installer apache -d mail.miteinander-esslingen.de --pre-hook "service apache2 stop" --post-hook "service apache2 start"

</code>