Starten Sie dann in Ihrem Home-Verzeichnis diesen Befehl:
git clone https://github.com/letsencrypt/letsencrypt
Dabei entsteht das Verzeichnis „letsencrypt“ mit den Installationsscripts.
Geben Sie folgende Befehle ein:
cd letsencrypt ./letsencrypt-auto --rsa-key-size 4096
Damit weisen Sie das Script an, für das Zertifikat einen sicheren Schlüssel mit einer Länge von 4096 Bit zu verwenden. Standard ist 2048 Bit. Ein einfaches Menü leitet Sie durch die Konfiguration. Beim ersten Aufruf müssen Sie eine E-Mail-Adresse angeben. Let’s Encrypt verschickt Nachrichten, um Sie über den Ablauf der Gültigkeit von Zertifikaten zu informieren. Im nächsten Schritt wählen Sie die Domain aus, für die Sie das Zertifikat erstellen wollen.
Anschließend legen Sie fest, ob alle Anfragen automatisch auf „https:“ umgeleitet werden sollen („Secure“) oder die Site auch über „http:“ erreichbar sein soll („Easy“). Im letzten Schritt erzeugt das Script die Schlüssel für die Zertifikate, prüft die Echtheit und Erreichbarkeit der Domain, lädt die Zertifikatdateien herunter und passt die Apache-Konfiguration an. Schlüssel und Konfigurationsdateien landen unter „/etc/letsencrypt“. Sie können jetzt die Sicherheit der Serverkonfiguration und das SSL-Zertifikat testen .
Die Zertifikate sind 90 Tage lang gültig. Es ist empfehlenswert, die Zertifikate etwa nach 60 Tagen zu aktualisieren:
./letsencrypt-auto --rsa-key-size 4096 --agree-tos --keep-untilexpiring -d MeineDomain.de
„MeineDomain.de“ ersetzen Sie durch den tatsächlichen Namen Ihrer Domain. Wenn Sie die Zertifikate erneuern, werden die Schlüssel unter „/etc/letsencrypt/archive“ durchnummeriert und die Links darauf unter „/etc/letsencrypt/live“ aktualisiert. In der Apache-Konfiguration finden Sie nur Pfade zu „/etc/letsencrypt/live/MeinDomain.de“, die dadurch immer gleichbleiben.
Wenn Sie keinen Shell-Zugang zum Server haben oder Zertifikate über die Konfigurationsoberfläche des Hostinganbieters installieren wollen, erzeugen Sie die Zertifikate auf einem Ubuntu oder Debian-System zu Hause. Installieren Sie hier git und den Let’s-Encrypt-Client, wie in → Punkt 1 beschrieben. Geben Sie dann folgenden Befehl in Ihrem Home-Verzeichnis ein:
git clone https://github.com/Myria-de/get-letsencrypt-cert.git
Wechseln Sie in das Verzeichnis „getletsencrypt-cert“ und öffnen Sie die Datei „getcert.sh“ in einem Editor. Passen Sie die Werte der Variablen im Konfigurationsbereich am Anfang der Datei an. Tragen Sie ein gültige Mailadresse ein, damit Let’s Encrypt Sie über abgelaufene Zertifikate informieren kann. Starten Sie dann das Script:
./getcert.sh MeineDomain.de
„MeineDomain.de“ ersetzen Sie durch den Namen der Domain, für die Sie ein Zertifikat erzeugen wollen. Tippen Sie das root-Passwort ein, wenn Sie danach gefragt werden, und bestätigen Sie die Aufzeichnung der IP-Adresse mit „y“. Das Script pausiert danach. Unter der Meldung „Make sure your web server displays the following content at“ sehen Sie eine URL, die auf Ihrem Webserver für die Authentifizierung vorhanden sein muss. Erstellen Sie eine Textdatei, die als Namen die lange ID hinter „acme-challenge/“ erhält. Fügen Sie den Inhalt aus der Zeile unter „before continuing:“ ein, und kopieren Sie die Datei auf Ihren Webserver in das Verzeichnis „.wellknown/acme-challenge“. Probieren Sie im Browser aus, ob die URL das geforderte Ergebnis enthält. Die URL muss über „http:“ erreichbar sein. Eine automatische Umleitung auf „https:“ schalten Sie also vorher ab. Erst danach drücken Sie im Terminalfenster die Eingabetaste.
Die Zertifikate liegen danach in einem Ordner mit dem aktuellen Datum; der private Schlüssel befindet sich unter „certs/MeineDomain.de“. Bei der Konfiguration über ein Web-Front-End müssen Sie in der Regel die Dateien „0001.chain.pem“ („0000_cert.pem“ und „000_chain.pem“ kombiniert) sowie „privkey1.pem“ oder deren Inhalt übertragen. Um das Zertifikat zu erneuern, starten Sie „getcert.sh“ erneut. Das Script prüft, ob das Zertifikat noch 30 Tage gültig ist, und aktualisiert es andernfalls. Der Ablauf ist der gleiche wie beim ersten Aufruf des Scripts.