Nastavení automatizace certifikátu pomocí nástroje certbot

Upozornění: Tento návod je určen pouze pro nejběžnější serverové distribuce Linuxu.

Pro instalaci automatického generování certifikátu následujte tyto kroky:

  • pokud již máte nainstalovaný nástroj certbot z vaší distribuce Linuxu, odinstalujte jej (apt remove certbot, dnf remove certbot, yum remove certbot, apod.), pravděpodobně vám nebude fungovat
  • nainstalujte si démona snapd (apt install snapd, dnf install snapd, yum install snapd, jiné distribuce zde)
  • snapd pro jistotu aktualizujete pomocí snap install core; snap refresh core
  • instalujte certbota příkazem snap install --classic certbot
  • přidejte linku na certbota do spustitelných cest pomocí ln -s /snap/bin/certbot /usr/bin/certbot
  • nastavte generování certifikátu následujícím příkazem:
certbot certonly \
  --standalone \
  --non-interactive \
  --agree-tos \
  --server <ACME URL klíče> \
  --eab-kid <Id klíče> \
  --eab-hmac-key <HMAC klíče> \
  --domain <dns1,dns2,...> \
  --cert-name <pojmenování certifikátu, např. mycert, nebo server.myorg.cz>
  • hodnoty uvedené v úhlových závorkách naleznete v přehledu vašich klíčů
  • v následujících bodech naleznete v cestách slovo letsencrypt; s touto autoritou nemá TCS nic společného, název se zde objevuje proto, protože certbot byl původně pro Let's Encrypt vytvořen
  • certifikát se vygeneruje do cesty /etc/letsencrypt/live/<pojmenování certifikátu>/cert.pem
  • klíč se vygeneruje do cesty /etc/letsencrypt/live/<pojmenování certifikátu>/privkey.pem
  • řetěz CA vygeneruje do cesty /etc/letsencrypt/live/<pojmenování certifikátu>/chain.pem
  • na tyto soubory se odkazujte v konfiguračních souborech serverových služeb
  • certifikát bude od této chvíle automaticky obnovován pokud se blíží konec platnosti toho stávajícího
  • ruční obnovení certifikátu lze provést příkazem certbot renew --force-renewal
  • Protokol případných chyb lze nalézt v /var/log/letsencrypt/letsencrypt.log
  • jiná, než žádostí povolená DNS jména, způsobí chybu generování
  • k chybě může poměrně často dojít i pokud uvedete správné údaje, další běh nástroje certbot je již většinou úspěšný