letsencrypt

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
letsencrypt [11/01/2018 - 13:23] thommie2letsencrypt [05/03/2024 - 10:52] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
-Doku: [[http://letsencrypt.readthedocs.io/en/latest/using.html#apache|http://letsencrypt.readthedocs.io/en/latest/using.html#apache]]+====== LETSENCRYPT ======
  
-====== Zu viele Logfiles, daher "out of inodes" ======+Doku: [[https://letsencrypt.org/docs/|https://letsencrypt.org/docs/]]
  
-[[https://community.letsencrypt.org/t/so-many-logfiles/32849|https://community.letsencrypt.org/t/so-many-logfiles/32849]] +Ausgestellte Zertifikate zeigen
- +
-"As your distro uses systemd there is no need to remove /etc/cron.d/certbot, it executes nothing if it detects that systemd is working on your system but you can remove it, no problem. To stop/disable the certbot systemd timer.+
  
 <code> <code>
 +root@devel:/etc/letsencrypt# certbot certificates
 +Saving debug log to /var/log/letsencrypt/letsencrypt.log
  
-systemctl stop certbot.timer +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 
-systemctl disable certbot.timer+Found the following certs: 
 +  Certificate Name: devel.netzwissen.de 
 +    Domains: devel.netzwissen.de gitea.netzwissen.de hugo.netzwissen.de 
 +    Expiry Date: 2021-09-25 06:10:15+00:00 (VALID: 56 days) 
 +    Certificate Path: /etc/letsencrypt/live/devel.netzwissen.de/fullchain.pem 
 +    Private Key Path: /etc/letsencrypt/live/devel.netzwissen.de/privkey.pem 
 +  Certificate Name: devel.netzwissen.de_old 
 +    Domains: devel.netzwissen.de gitea.netzwissen.de hugo.netzwissen.de 
 +    Expiry Date: 2021-09-25 06:10:15+00:00 (VALID: 56 days) 
 +    Certificate Path: /etc/letsencrypt/live/devel.netzwissen.de/fullchain.pem 
 +    Private Key Path: /etc/letsencrypt/live/devel.netzwissen.de/privkey.pem 
 +- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
 </code> </code>
  
-And to be sure that in case a new debian certbot update doesn't activate certbot.timer again you could mask the certbot.timer.+Zertifikate ergänzen
  
 +The way to add a domain with Certbot is to **reissue the certificate with a complete list of all of the names that should be covered in the new certificate**. There’s no command that adds a domain without the need to respecify the old names.
 +
 +
 +Zertifikate löschen
 <code> <code>
-systemctl mask certbot.timer+certbot delete
 </code> </code>
  
-This mask creates a symlink from /etc/systemd/system/certbot.timer to /dev/null and this timer will run nothing. +Danach alle neu anfordern:
-Cheers, sahsanu"+
  
-Als regelmässiger Job, um die Zertifikate zu prüfen, reicht ein cron.weekly Aufruf+<code> 
 +certbot certonly -d lb.netzwissen.eu -d cloud.netzwissen.eu -d docker.netzwissen.eu -d forum.netzwissen.eu -d gitea.netzwissen.eu -d hedgedoc.netzwissen.eu -d login.netzwissen.eu -d mail.netzwissen.eu -d matrix.netzwissen.eu -d netzwissen.eu -d wiki.netzwissen.eu -d www.netzwissen.eu 
 +</code>
  
-<file> +Staging
-#!/bin/sh +
-certbot renew +
-</file>+
  
 +certbot --dry-run arbeitet gegen die Staging Umgebung und hat höhere rating limits, siehe https://letsencrypt.org/docs/staging-environment/
 ====== LetsEncrypt für Mailserver nutzen ====== ====== LetsEncrypt für Mailserver nutzen ======
  
-Siehe auch https://kofler.info/lets-encrypt-zertifikate-fuer-web-und-mail-unter-ubuntu-16-04/+Siehe auch [[https://kofler.info/lets-encrypt-zertifikate-fuer-web-und-mail-unter-ubuntu-16-04/|https://kofler.info/lets-encrypt-zertifikate-fuer-web-und-mail-unter-ubuntu-16-04/]]
  
 Let’s-Encrypt-Zertifikate sind grundsätzlich universell verwendbar. Allerdings muss man für die passenden Hostnamen des SMTP- und IMAP-Servers entsprechende Zertifikate anfordern. Also z.B. für mail.meine-domain.de oder imap.meine-domain.de. Der Befehl dafür lautet Let’s-Encrypt-Zertifikate sind grundsätzlich universell verwendbar. Allerdings muss man für die passenden Hostnamen des SMTP- und IMAP-Servers entsprechende Zertifikate anfordern. Also z.B. für mail.meine-domain.de oder imap.meine-domain.de. Der Befehl dafür lautet
- 
 <code> <code>
 +
 ''certbot --apache --staging -d www.meine-domain.de ''certbot --apache --staging -d www.meine-domain.de
   -d meine-domain.de -d imap.meine-domain.de   -d meine-domain.de -d imap.meine-domain.de
   -d smtp.meine-domain.de''   -d smtp.meine-domain.de''
 +
 </code> </code>
  
 Mit –staging werden Fake Certs angelegt. Wenn alles funktioniert, den Schalter weglassen! Danach die Configs von postfix und dovecot auf den neuen Cert Pfad anpassen (''/etc/letsencrypt/live/[[http://www.meine-domain.de/|www.meine-domain.de/]]…). Falls dieser Fehler kommt Mit –staging werden Fake Certs angelegt. Wenn alles funktioniert, den Schalter weglassen! Danach die Configs von postfix und dovecot auf den neuen Cert Pfad anpassen (''/etc/letsencrypt/live/[[http://www.meine-domain.de/|www.meine-domain.de/]]…). Falls dieser Fehler kommt
- 
 <code> <code>
 +
 Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.
 +
 </code> </code>
  
Zeile 51: Zeile 67:
 <code> <code>
 certbot --authenticator standalone --installer apache -d mail.miteinander-esslingen.de --pre-hook "service apache2 stop" --post-hook "service apache2 start" certbot --authenticator standalone --installer apache -d mail.miteinander-esslingen.de --pre-hook "service apache2 stop" --post-hook "service apache2 start"
-</code> 
  
 +</code>
  
  • letsencrypt.1515676992.txt.gz
  • Zuletzt geändert: 05/03/2024 - 10:52
  • (Externe Bearbeitung)