Der Vorteil von Wildcard Zertifikaten ist, dass sie für die Haupt-Domain und alle Sub-Domains gelten. Daher zeige ich euch, wie ihr diese kostenlos mit Let’s Encrypt bzw. certbot erstellen könnt.

Zuerst müsst ihr Certbot downloaden. Dies geht leider NICHT über den Paketmanager, da die Version dort viel zu alt ist. Derzeit (10.08.18) stellt Debian 9 die Version certbot (0.10.2-1) bereit und bei git existiert bereits die Version 0.26.1.

Daher installieren wir uns zuerst git und python.

apt-get update
apt-get install python-minimal
apt-get install git-core

Danach kontrollieren wir mit beiden Befehlen, ob die Installation funktioniert hat. Wenn ja, dann solltet ihr jeweils eine Versionsnummer angezeigt bekommen.

python – version
git – version

Nun können wir uns die aktuellste Version von Certbot per git downloaden.

cd /opt
git clone https://github.com/certbot/certbot.git
cd certbot

Jetzt können wir damit beginnen Zertifikate zu erstellen.

Dazu gebt ihr folgenden Befehl in die Konsole ein. Hier müsst ihr eure E-Mail Adresse und Domain abändern.

./certbot-auto certonly – manual – email eure@Email.de – agree-tos -d *.eureDomain.de

Dies sollte dann so aussehen:

root@v22:/opt/certbot# ./certbot-auto certonly – manual – email eure@Email.de – agree-tos -d *.euredomain.de
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for euredomain.de

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.euredomain.de with the following value:

xk-toTkDIMq8WxdizposAzYtB2yNc2XNhjVfZZk3bIM

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

Ihr müsst nun einen TXT Eintrag zu eurer Domain hinzufügen. Dazu geht ihr auf euren DNS Server oder wie bei mir zu euren Domain Anbieter.

Dies sollte bei euch auch in etwa so aussehen.

Ich werde bei meinem Anbieter freundlich darauf hingewiesen, dass es „etwas“ dauern kann, bis die Änderungen weltweit gültig sind.

Nach ca. 20 Minuten habe ich dann „ENTER“ gedrückt und erfolgreich die Registrierung abgeschlossen. Wenn eure DNS Informationen zu dem Zeitpunkt noch nicht erfolgreich umgesetzt wurden, dann müsst ihr den Vorgang wiederholen und dann NEUE Daten eingeben.

Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/euredomain.de/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/euredomain.de/privkey.pem
   Your cert will expire on 2018-11-08. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

 

Teile diesen Beitrag
Christian

Categories:

5 Kommentare

  1. Hey Christian,

    danke für die Anleitung

    wie kann ich denn dannach die automatische erneuerung der Zertifikate erreichen?

    (Das schlägt bei mir mit der normalen Certbot-Config irgendwie fehlt, da beim erstellen das Manual plugin verwendet wurde)

    Grüße,

    Zottel

  2. Hallo!

    Vielen Dank für dein Tutorial. Kannst du vielleicht auch noch beschreiben wie ich das unter nginx mit Wildcard + Hauptdomain (-d *.test.de -d test.de) dann zum laufen bekomme?

    Viele Grüße,
    Tobias

  3. Hallo Zottel,
    ich hatte das gleiche Problem und bin auf diese Antwort gestoßen.
    Daher würde ich sagen geht das nicht so einfach, da ja jedesmal der TXT-Record bei deinem DNS-Server/Domain Anbieter abgeändert werden muss und certbot auf die Aktualisierung dieses Eintrages warten muss.
    Ich werde daher wohl auf die „alte“ Methode zurückgreifen.
    Grüße
    Daniel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.