Wie verwende ich EuropeanSSL mit acme.sh?

Falls nicht bereits geschehen, installieren Sie acme.sh auf Ihrem Linux Server mit folgendem Befehl.

curl https://get.acme.sh | sh

oder, falls curl nicht verfügbar ist

wget -O -  https://get.acme.sh | sh

Mit dem folgenden Befehl legen Sie EuropeanSSL als standardmäßige CA für alle über acme.sh abgerufenen Zertifikate festlegen.

acme.sh --set-default-ca --server https://acme.eunetic.net/dv

Für Zertifikate mit Unternehmensverifizierung (OV), ersetzen Sie /dv mit /ov.

Alternativ, falls Sie auch andere CAs nutzen, geben Sie den --server Parameter bei jedem einzelnen Aufruf mit an. Bitte beachten Sie, dass alle weiteren Schritte in dieser Anleitung davon ausgehen, dass Sie EuropeanSSL als Standard gesetzt haben. Falls nicht, dann hängen Sie --server https://acme.eunetic.net/dv an jeden ab hier dokumentierten Befehl an.

Um EuropeanSSL mit dem ACME-Protokoll nutzen zu können, müssen Sie zunächst einmalig ein ACME-Konto im Eunetic Kundeninterface anlegen. Damit erhalten Sie Zugangsdaten für das so genannte "External Account Binding" (EAB) bestehend aus einem Schlüssel (HMAC Key) und einer zugehörigen Benutzeridentifikation (Key ID). Weitere Details zu EuropeanSSL ACME-Konten finden Sie im FAQ-Eintrag:

 Was ist ein EuropeanSSL ACME-Konto und wie werden SSL-Zertifikate abgerechnet?

Führen Sie folgenden Befehl aus um Ihr EuropeanSSL ACME-Konto beim acme.sh Client zu registrieren:

acme.sh --register-account \
  --eab-kid <EAB KEY ID> \
  --eab-hmac-key <EAB HMAC KEY> \
  -m ihre@email.de

Ersetzen Sie die <> Platzhalter mit den Werten, die Sie über unser Kundeninterface mit dem "EAB Zugangsdaten" Button angezeigt bekommen. Die Angabe einer E-Mail-Adresse über dem -m Parameter ist optional, darüber erhalten Sie falls gewünscht Benachrichtigungen über anstehende Verlängerungen oder Fehlermeldungen.

Falls Sie den optionalen Schritt 2 nicht durchgeführt haben, hängen Sie --server https://acme.eunetic.net/dv (bzw. /ov) an den obigen Befehl an.

Ab jetzt können Sie Zertifikate für alle im ACME-Konto eingerichteten Domains abrufen und installieren lassen. Folgender Befehl ruft beispielsweise ein einfaches Single-Zertifikat für die Domain "ihredomain.de" ab:

acme.sh --issue -d ihredomain.de -w /usr/home/ihruser/public_html

Der -w Parameter gibt das mit der Domain verknüpfte Web-Root-Verzeichnis an. Für die Zertifikatsausstellung ist es erforderlich, dass acme.sh dort eine Validierungsdatei hinterlegen kann, welche über die Domain abrufbar ist. Stellen Sie also sicher, dass ihr Webserver entsprechend konfiguriert ist und der Systembenutzer, mit dem acme.sh aufgerufen wird, Schreibrechte im angegebenen Verzeichnis hat.

Falls Sie den optionalen Schritt 2 nicht durchgeführt haben, hängen Sie --server https://acme.eunetic.net/dv (bzw. /ov) an den obigen Befehl an.

Die Zertifikate sind für maximal 90 Tage gültig und werden von acme.sh automatisch alle 60 Tage verlängert, bis Sie den Auftrag mit acme.sh --remove -d example.com wieder entfernen oder ihr ACME-Konto ausläuft.

Es können mehrere Domains in einem Zertifikat zusammengefasst werden indem Sie -d ihreanderedomain.com an den Befehl anhängen. Auch Wildcard-Domains können mit -d '*.ihredomain.com' erfasst werden. Stellen Sie aber sicher, dass sie vorher alle aufgeführten Domains im EuropeanSSL ACME-Konto bestellt und damit für die Zertifkatsanforderung freigeschaltet haben.

Falls die Zertifikate automatisch in Apache oder NGINX eingerichtet werden sollen, informieren Sie sich in der offiziellen Dokumentation über alle Möglichkeiten und weitere Parameter.