Wer nicht für alle Systeme ein Zertifikat erstellen möchte, der kann den Wildcardsupport von Let´s Encrypt nutzen, welcher Anfang 2018 gestartet ist.
Aktuell steht für die Wildcardzertifikate nur die „DNS-Challenge“ als Authentifizierung zur Verfügung.
Hierbei ein Wert ausgegeben, welcher als TXT Record im DNS eingetragen werden muss. Dieser wird anschließend überprüft, um zu gewährleisten, dass man die Hoheit über die Domain besitzt.
Certbot installieren
Sollte man den Certbot noch nicht installiert haben, so kann man sich auf der Webseite die entsprechenden Schritte anzeigen lassen.
Hier am Beispiel von Ubuntu 16.04. und Nginx:
apt-get update
apt-get install software-properties-common
add-apt-repository ppa:certbot/certbot
apt-get update
apt-get install python-certbot-nginx
Zertifikat erstellen
Nachdem er nun installiert ist / war kann man nun das Zertifikat erzeugen.
certbot -d *.<FQDN> --server https://acme-v02.api.letsencrypt.org/directory --manual --preferred-challenges dns certonly
--server
gibt den Zielserver für das ACME (Automatic Certificate Management Environment) an. Sollten alte Configs von Let´s Encrypt vorhanden sein, könnten die noch auf das ältere ACMEv1 verweisen, daher ist es sicherer die Option zu definieren.
--manual
keine Pluginnutzung
--preferred-challenges dns
DNS Challenge für die Domainauthentifizierung
certonly
erstellt nur das Certifikat ohne es installieren zu wollen
Es folgt nun eine Warnung und Abfrage, ob man fortfahren möchte.
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for <Domain>
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.
Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y
Es muss anschließend ein TXT Record mit einem definierten Wert im DNS gesetzt werden.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.<Domain>.de with the following value:
<Wert>
Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
Nach dem Erstellen und einer gewissen Wartezeit, bis die Änderung auf dem DNS wirksam geworden ist.
Kann die Erstellung mit Enter fortgesetzt werden.
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/<Domain>/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/<Domain>/privkey.pem
Your cert will expire on 2018-11-06. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le