Diese Seite erklärt die Nutzung von 'Certbot', dem offiziellen ACME-Client von Let's Encrypt, zur automatisierten Beantragung und Erneuerung von TLS-Zertifikaten.

Ein Kommandozeilen-Tool zur Interaktion mit Let's Encrypt

Unterstützt HTTP-01 und DNS-01 Challenges

Kann Webserver wie Apache oder NGINX automatisch konfigurieren

Für Apache:

sudo apt install python3-certbot-apache

Für reine Zertifikatserzeugung (ohne Webserver-Plugin):

sudo apt install certbot

Für Apache oder NGINX:

sudo certbot –nginx -d example.com -d www.example.com

Nur Webroot (z. B. bei Reverse Proxies):

sudo certbot certonly –webroot -w /var/www/html -d example.com

sudo certbot certificates

sudo certbot renew –dry-run

Die automatische Erneuerung erfolgt i. d. R. via Cronjob oder Systemd-Timer.

Beispiel mit Cloudflare:

sudo certbot -d '*.example.com' –authenticator dns-cloudflare –dns-cloudflare-credentials ~/.secrets/cf.ini –installer nginx

Certbot prüft standardmäßig vorzeitig ablaufende Zertifikate und erneuert nur bei Bedarf

–dry-run hilft bei Testläufen, ohne echte Zertifikate zu erzeugen

too many certificates → Rate-Limit von Let's Encrypt erreicht

unauthorized → Challenge konnte nicht validiert werden

Port 80/443 nicht offen → Firewall oder Router prüfen

Let's Encrypt + ACME mit Traefik

Grundlagen zu TLS & SSL