Der Vorteil von Wildcard Zertifikaten ist, dass sie für die Haupt-Domain und alle Sub-Domains gelten. Daher zeige ich euch, wie ihr diese kostenlos mit Let’s Encrypt bzw. certbot erstellen könnt.
Zuerst müsst ihr Certbot downloaden. Dies geht leider NICHT über den Paketmanager, da die Version dort viel zu alt ist. Derzeit (10.08.18) stellt Debian 9 die Version certbot (0.10.2-1) bereit und bei git existiert bereits die Version 0.26.1.
Daher installieren wir uns zuerst git und python.
apt-get update apt-get install python-minimal apt-get install git-core
Danach kontrollieren wir mit beiden Befehlen, ob die Installation funktioniert hat. Wenn ja, dann solltet ihr jeweils eine Versionsnummer angezeigt bekommen.
python --version git --version
Nun können wir uns die aktuellste Version von Certbot per git downloaden.
cd /opt git clone https://github.com/certbot/certbot.git cd certbot
Jetzt können wir damit beginnen Zertifikate zu erstellen.
Dazu gebt ihr folgenden Befehl in die Konsole ein. Hier müsst ihr eure E-Mail Adresse und Domain abändern.
./certbot-auto certonly --manual --email eure@Email.de --agree-tos -d *.eureDomain.de
Dies sollte dann so aussehen:
root@v22:/opt/certbot# ./certbot-auto certonly --manual --email eure@Email.de --agree-tos -d *.euredomain.de Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator manual, Installer None Obtaining a new certificate Performing the following challenges: dns-01 challenge for euredomain.de - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you're running certbot in manual mode on a machine that is not your server, please ensure you're okay with that. Are you OK with your IP being logged? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.euredomain.de with the following value: xk-toTkDIMq8WxdizposAzYtB2yNc2XNhjVfZZk3bIM Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue
Ihr müsst nun einen TXT Eintrag zu eurer Domain hinzufügen. Dazu geht ihr auf euren DNS Server oder wie bei mir zu euren Domain Anbieter.
Dies sollte bei euch auch in etwa so aussehen.
Ich werde bei meinem Anbieter freundlich darauf hingewiesen, dass es “etwas” dauern kann, bis die Änderungen weltweit gültig sind.
Nach ca. 20 Minuten habe ich dann “ENTER” gedrückt und erfolgreich die Registrierung abgeschlossen. Wenn eure DNS Informationen zu dem Zeitpunkt noch nicht erfolgreich umgesetzt wurden, dann müsst ihr den Vorgang wiederholen und dann NEUE Daten eingeben.
Waiting for verification... Cleaning up challenges IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/euredomain.de/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/euredomain.de/privkey.pem Your cert will expire on 2018-11-08. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Hallo Zottel,
ich hatte das gleiche Problem und bin auf diese Antwort gestoßen.
Daher würde ich sagen geht das nicht so einfach, da ja jedesmal der TXT-Record bei deinem DNS-Server/Domain Anbieter abgeändert werden muss und certbot auf die Aktualisierung dieses Eintrages warten muss.
Ich werde daher wohl auf die “alte” Methode zurückgreifen.
Grüße
Daniel
Hallo!
Vielen Dank für dein Tutorial. Kannst du vielleicht auch noch beschreiben wie ich das unter nginx mit Wildcard + Hauptdomain (-d *.test.de -d test.de) dann zum laufen bekomme?
Viele Grüße,
Tobias
Hey Christian,
danke für die Anleitung
wie kann ich denn dannach die automatische erneuerung der Zertifikate erreichen?
(Das schlägt bei mir mit der normalen Certbot-Config irgendwie fehlt, da beim erstellen das Manual plugin verwendet wurde)
Grüße,
Zottel