Wie verwende ich EuropeanSSL mit Certbot?

Anders als zum Beispiel acme.sh sind für Certbot Root-Rechte erforderlich. Eine Installation im Shared oder Managed Hosting ist daher in der Regel nicht möglich, wenn vom Dienstleister nicht bereitgestellt. Testen Sie in dem Fall ob Certbot bereits vorinstalliert wurde, indem Sie certbot --version ausführen. Falls nicht, empfehlen wir einen anderen ACME-Client, wie beispielsweise acme.sh zu verwenden.

Die Installation ist abhängig vom Betriebssystem Ihres Servers. Die folgenden Befehle sind beispielhaft für die Installation unter Debian oder anderen auf dem "apt" Paketmanager basierenden Linux-Distributionen.

Wählen Sie zwischen certbot mit Apache-Plugin:

sudo apt install certbot python3-certbot-apache

oder mit Ngix-Plugin:

sudo apt install certbot python3-certbot-nginx

je nachdem welchen Webserver Sie einsetzen.

Um EuropeanSSL mit dem ACME-Protokoll nutzen zu können, müssen Sie zunächst einmalig ein ACME-Konto im Eunetic Kundeninterface anlegen. Damit erhalten Sie Zugangsdaten für das so genannte "External Account Binding" (EAB) bestehend aus einem Schlüssel (HMAC Key) und einer zugehörigen Benutzeridentifikation (Key ID). Weitere Details zu EuropeanSSL ACME-Konten finden Sie im FAQ-Eintrag:

 Was ist ein EuropeanSSL ACME-Konto und wie werden SSL-Zertifikate abgerechnet?

Sie können EuropeanSSL als Standard-CA für Certbot verwenden, indem Sie die cli.ini Konfigurationsdatei von Certbot bearbeiten:

sudo nano /etc/letsencrypt/cli.ini

Fügen Sie dieser die folgende Zeile hinzu (oder ersetzen Sie eine bereits vorhandene Konfiguration des "server" Parameters:

server = https://acme.eunetic.net/dv
eab-kid = <EAB KEY ID>
eab-hmac-key = <EAB HMAC KEY>

Für Zertifikate mit Unternehmensverifizierung (OV), ersetzen Sie /dv mit /ov.

Ersetzen Sie die <> Platzhalter mit den Werten, die Sie über unser Kundeninterface mit dem "EAB Zugangsdaten" Button angezeigt bekommen.

Ab jetzt können Sie Zertifikate für alle im ACME-Konto eingerichteten Domains abrufen und installieren lassen. Folgender Befehl ruft beispielsweise ein einfaches Single-Zertifikat für die Domain "ihredomain.de" ab und nutz das Nginx-Plugin zur automatischen Einrichtung im Webserver.

sudo certbot --nginx \
  --agree-tos \
  --email hostmaster@ihredomain.de \
  --d ihredomain.de \

Falls Sie apache verwenden ersetzen Sie --nginx mit --apache.

Die Angabe einer E-Mail-Adresse über dem --email Parameter ist optional, darüber erhalten Sie falls gewünscht Benachrichtigungen über anstehende Verlängerungen oder Fehlermeldungen.

WICHTIG: Falls Sie den optionalen Schritt 3 nicht ausgeführt haben, ergänzen Sie beim obigen Aufruf die folgenden Parameter:

  --server https://acme.sectigo.com/v2/DV \
  --eab-kid <EAB KEY ID> \  
  --eab-hmac-key <EAB HMAC KEY> \

Die Zertifikate sind für maximal 90 Tage gültig und werden vom Certbot automatisch alle 60 Tage verlängert, bis Sie den Auftrag mit sudo certbot delete wieder entfernen oder ihr ACME-Konto ausläuft.

Es können mehrere Domains in einem Zertifikat zusammengefasst werden indem Sie jede davon mit -d ihreanderedomain.com an den Befehl anhängen. Auch Wildcard-Domains können mit -d '*.ihredomain.com' erfasst werden. Stellen Sie aber sicher, dass sie vorher alle aufgeführten Domains im EuropeanSSL ACME-Konto bestellt und damit für die Zertifkatsanforderung freigeschaltet haben.

Weitere Informationen finden Sie in der offiziellen Dokumentation.