Let’s Encrypt: Zertifikate erstellen und erneuern via ACME-Challenge

letsencrypt-logo

Voraussetzung:
Installation von Certbot

Zum Let’s Encrypt-Verzeichnis wechseln:

cd /opt/letsencrypt

Folgenden Befehl ausführen:

sudo ./certbot-auto certonly --manual --agree-tos --manual-public-ip-logging-ok --rsa-key-size 4096 -d domain.tld -d www.domain.tld

Es wird automatisch sämtlichen Bestimmungen (TOS: Terms of service) zugestimmt.

Es müssen zwei Challenge-Dateien mit dem jeweils angegebenen Inhalt für die Hauptdomain und Subdomain (www) erzeugt und via SSH bzw. FTP in das root-Verzeichnis der Domain hochgeladen werden. (Tool: Excel-VBA-Script)

Nach erfolgreicher Challenge und Erstellung der SSL/TLS-Zertifikate erfolgt der Wechsel zum Archiv:

cd /etc/letsencrypt/archive

In den jeweiligen Unterordnern des bzw. der Domainnamen sind die Zertifikatsdateien abgelegt:

  • cert1.pem
  • chain1.pem
  • fullchain1.pem (Verkettung von cert1.pem & chain1.pem)
  • privkey1.pem

Informationen über ein Zertifikat auslesen

Im Terminal bzw. via SSH zum Ablageort des Zertifikats wechseln.

Alternativ über den Dateimanager (z.B. PCMan File Manager) im entsprechenden Ordner positionieren und dann in der Menüleiste Werkzeuge & “Aktuellen Ordner im Terminal öffnen” wählen.

Im Terminal folgenden Befehl ausführen:

openssl x509 -noout -text -nameopt multiline -in cert.pem

Unter “Subject: commonName” wird angezeigt, zu welcher Domain die Zertifikatsdatei gehört.

Validity gibt an, ab bzw. bis wann ein SSL/TLS-Zertifikat gültig ist.