Upozornění: Tento návod je určen pouze pro nejběžnější serverové distribuce Linuxu.
Pro instalaci automatického generování certifikátu následujte tyto kroky:
pokud již máte nainstalovaný nástroj certbot z vaší distribuce Linuxu, odinstalujte jej (apt remove certbot, dnf remove certbot, yum remove certbot, apod.), pravděpodobně vám nebude fungovat
nainstalujte si démona
snapd (
apt install snapd,
dnf install snapd,
yum install snapd, jiné distribuce
zde)
snapd pro jistotu aktualizujete pomocí snap install core; snap refresh core
instalujte certbota příkazem snap install --classic certbot
přidejte linku na certbota do spustitelných cest pomocí ln -s /snap/bin/certbot /usr/bin/certbot
nastavte generování certifikátu následujícím příkazem:
certbot certonly \
--standalone \
--non-interactive \
--agree-tos \
--server <ACME URL klíče> \
--eab-kid <Id klíče> \
--eab-hmac-key <HMAC klíče> \
--domain <dns1,dns2,...> \
--cert-name <pojmenování certifikátu, např. mycert, nebo server.myorg.cz>
-
v následujících bodech naleznete v cestách slovo letsencrypt; s touto autoritou nemá TCS nic společného, název se zde objevuje proto, protože certbot byl původně pro Let's Encrypt vytvořen
certifikát se vygeneruje do cesty /etc/letsencrypt/live/<pojmenování certifikátu>/cert.pem
klíč se vygeneruje do cesty /etc/letsencrypt/live/<pojmenování certifikátu>/privkey.pem
řetěz CA vygeneruje do cesty /etc/letsencrypt/live/<pojmenování certifikátu>/chain.pem
na tyto soubory se odkazujte v konfiguračních souborech serverových služeb
certifikát bude od této chvíle automaticky obnovován pokud se blíží konec platnosti toho stávajícího
ruční obnovení certifikátu lze provést příkazem certbot renew --force-renewal
Protokol případných chyb lze nalézt v /var/log/letsencrypt/letsencrypt.log
jiná, než žádostí povolená
DNS jména, způsobí chybu generování
k chybě může poměrně často dojít i pokud uvedete správné údaje, další běh nástroje certbot je již většinou úspěšný