====== Nastavení automatizace certifikátu pomocí nástroje certbot ======

<WRAP important>
**Upozornění:** Tento návod je určen pouze pro nejběžnější serverové distribuce Linuxu.
</WRAP>

Pro instalaci automatického generování certifikátu následujte tyto kroky:
  * pokud již máte nainstalovaný nástroj **certbot** z vaší distribuce Linuxu, odinstalujte jej (//apt remove certbot//, //dnf remove certbot//, //yum remove certbot//, apod.), pravděpodobně vám nebude fungovat
  * nainstalujte si démona **snapd** (//apt install snapd//, //dnf install snapd//, //yum install snapd//, jiné distribuce [[https://snapcraft.io/docs/installing-snapd|zde]])
  * **snapd** pro jistotu aktualizujete pomocí //snap install core; snap refresh core//
  * instalujte certbota příkazem //snap install --classic certbot//
  * přidejte linku na certbota do spustitelných cest pomocí //ln -s /snap/bin/certbot /usr/bin/certbot//
  * nastavte generování certifikátu následujícím příkazem:
<code>
certbot certonly \
  --standalone \
  --non-interactive \
  --agree-tos \
  --server <ACME URL klíče> \
  --eab-kid <Id klíče> \
  --eab-hmac-key <HMAC klíče> \
  --domain <dns1,dns2,...> \
  --cert-name <pojmenování certifikátu, např. mycert, nebo server.myorg.cz>
</code>
  * hodnoty uvedené v úhlových závorkách naleznete v [[https://tcs.cesnet.cz/acmecodes/|přehledu vašich klíčů]]
  * v následujících bodech naleznete v cestách slovo **letsencrypt**; s touto autoritou nemá TCS nic společného, název se zde objevuje proto, protože **certbot** byl původně pro **Let's Encrypt** vytvořen
  * certifikát se vygeneruje do cesty ///etc/letsencrypt/live/<pojmenování certifikátu>/cert.pem//
  * klíč se vygeneruje do cesty ///etc/letsencrypt/live/<pojmenování certifikátu>/privkey.pem//
  * řetěz CA vygeneruje do cesty ///etc/letsencrypt/live/<pojmenování certifikátu>/chain.pem//
  * na tyto soubory se odkazujte v konfiguračních souborech serverových služeb
  * certifikát bude od této chvíle automaticky obnovován pokud se blíží konec platnosti toho stávajícího
  * ruční obnovení certifikátu lze provést příkazem //certbot renew --force-renewal//
  * Protokol případných chyb lze nalézt v ///var/log/letsencrypt/letsencrypt.log//
  * jiná, než žádostí povolená DNS jména, způsobí chybu generování
  * k chybě může poměrně často dojít i pokud uvedete správné údaje, další běh nástroje **certbot** je již většinou úspěšný