Manuell zu LetsEncrypt gewechselt

UferböschungNachdem ich gestern schon lange damit herum gebastelt hatte und schon dabei immer wieder meinen Webserver ‚abgeschossen‘ hatte, machte ich es heute nach einigen Überlegungen mal ganz anders. Irgendwo hatte ich gelesen, dass der certbot auch einen manuellen Modus anbietet. Der Bot öffnet dazu den Port 80, über den dann der Hostname verifiziert wird. – Logischerweise muss dazu vorher der eigene Apache-Webserver gestoppt werden, aber das war gestern ja auch schon mehrfach ungewollt passiert.
Ich testete es als erstes mit den Zertifikaten meiner Mail-Listen und weil das gut klappte, wollte ich den Rest in einem Rutsch durchziehen. Mit dem Parameter ‚-d‘ kann man laut man-Page nämlich mehrere Domains übergeben. So führte ich also als nächstes den Befehl aus:

certbot --standalone certonly -d www.spassdomain1.de -d www.spassdomain2.de \
          -d www.spassdomain3.de -d www.spassdomain4.de -d www.spassdomain5.de \
          -d www.spassdomain6.de -d www.spassdomain7.de

– und erhielt ein neues Zertifikat, dass für alle angegebenen Domains galt. Das wollte ich natürlich gar nicht. Jedes Script-Kid kann sich aus diesem Zertifika die restlichen Zusammenhänge noch leichter ‚ausrechnen‘.

openssl x509 -noout -text -in /etc/letsencrypt/live/www.spassdomain1.de/cert.pem 
...
  X509v3 Subject Alternative Name: 
    DNS:www.spassdomain1.de, DNS:www.spassdomain2.de, DNS:www.spassdomain3.de,
    DNS:www.spassdomain4.de, DNS:www.spassdomain5.de, DNS:www.spassdomain6.de, 
    DNS:www.spassdomain7.de
...

SäuleAlso hielt ich meinen Apache noch ein weiteres mal an und ließ den Bot für jede Domain einzeln durchlaufen.
In Zukunft könnte man sich überlegen, ob man dann doch wieder ein paar mehr Domains mit übergeben kann. Aber natürlich nur zueinander passende, so zum Beispiel: ‚ -d www.spassdomain1.de -d www.spass-domain1.de -d spassdomain1.de …‘.
Mal sehen ob mir dafür zukünftig eine Verwendung einfällt, bisher war es ja auch nicht nötig.

Gelesen: 462 · heute: 2 · zuletzt: Sat 18.May 2019

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.