Letsencrypt & certbot

mainmod · 7. August 2025 um 08:48

LETSENCRYPT

Letsencrypt ist der weltweit dominierende (und kostenlose) Web-Dienst zur Bereitstellung von ssl Zertifikaten für die verschlüsselte Web-Kommunikation (https://). Let’s Encrypt ist eine gratis, automatisierte, und offene Zertifizierungsstelle, die von der gemeinnützigen Internet Security Research Group (ISRG) betrieben wird. Dokumentation: Dokumentation - Let's Encrypt - Freie SSL/TLS Zertifikate

Zertifikate werden auf Basis von bestehenden Registrierung für DNS Domänen ausgestellt und haben eine Gültigkeit von 90 Tagen. Ein lokales Programm (certbot) aktualisiert Zertifikate automatisch und passt die Konfiguration des Webservers an.

Ausgestellte Zertifikate zeigen

root@devel:/etc/letsencrypt# certbot certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Found the following certs:
  Certificate Name: devel.netzwissen.de
    Domains: devel.netzwissen.de gitea.netzwissen.de hugo.netzwissen.de
    Expiry Date: 2021-09-25 06:10:15+00:00 (VALID: 56 days)
    Certificate Path: /etc/letsencrypt/live/devel.netzwissen.de/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/devel.netzwissen.de/privkey.pem
  Certificate Name: devel.netzwissen.de_old
    Domains: devel.netzwissen.de gitea.netzwissen.de hugo.netzwissen.de
    Expiry Date: 2021-09-25 06:10:15+00:00 (VALID: 56 days)
    Certificate Path: /etc/letsencrypt/live/devel.netzwissen.de/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/devel.netzwissen.de/privkey.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Zertifikate ergänzen

The way to add a domain with Certbot is to reissue the certificate with a complete list of all of the names that should be covered in the new certificate. There’s no command that adds a domain without the need to respecify the old names.

Zertifikate löschen

certbot delete

Danach alle neu anfordern:

certbot certonly -d lb.netzwissen.eu -d cloud.netzwissen.eu -d docker.netzwissen.eu -d forum.netzwissen.eu -d gitea.netzwissen.eu -d hedgedoc.netzwissen.eu -d login.netzwissen.eu -d mail.netzwissen.eu -d matrix.netzwissen.eu -d netzwissen.eu -d wiki.netzwissen.eu -d www.netzwissen.eu

Staging

certbot –dry-run arbeitet gegen die Staging Umgebung und hat höhere rating limits, siehe https://letsencrypt.org/docs/staging-environment/

LetsEncrypt für Mailserver nutzen

Siehe auch https://kofler.info/lets-encrypt-zertifikate-fuer-web-und-mail-unter-ubuntu-16-04/

Let’s-Encrypt-Zertifikate sind grundsätzlich universell verwendbar. Allerdings muss man für die passenden Hostnamen des SMTP- und IMAP-Servers entsprechende Zertifikate anfordern. Also z.B. für mail.meine-domain.de oder imap.meine-domain.de. Der Befehl dafür lautet

''certbot --apache --staging -d www.meine-domain.de
  -d meine-domain.de -d imap.meine-domain.de
  -d smtp.meine-domain.de''

Mit –staging werden Fake Certs angelegt. Wenn alles funktioniert, den Schalter weglassen! Danach die Configs von postfix und dovecot auf den neuen Cert Pfad anpassen (‚‘/etc/letsencrypt/live/www.meine-domain.de/…). Falls dieser Fehler kommt

Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.

braucht man einen anderen Authentikator:

certbot --authenticator standalone --installer apache -d mail.miteinander-esslingen.de --pre-hook "service apache2 stop" --post-hook "service apache2 start"

Zuletzt bearbeitet von @admin 2025-08-31T06:39:14Z