Ist es auch möglich nach folgendem Verfahren siehe unten diesen als Acme Zertifikatsanbeiter in Liveconfig einzupflegen?
Das würde uns die interne zertifizierung ungemein erleichtern.
acme.sh
Auf dem Server richtet man dann einen dedizierten Nutzer ein (Name beliebig), in dessen HOME-Verzeichnis anschließend acme.sh installiert und verwendet wird wie folgt:
ZitatAlles anzeigenadduser acmeuser
su - acmeuser
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m e-mail-adresse
exit
Zum Einlesen der geänderten rc-Dateien wird der Nutzer erneut eingeloggt, der Default-CA-Server wird gesetzt, der EAB-Account registriert (Nebenprodukt ACCOUNT_THUMBPRINT) und ein Zertifikat angefordert:
Zitatsu - acmeuser
acme.sh --set-default-ca --server 'server-url'
acme.sh --register-account --server 'server-url' --eab-kid 'key-id' --eab-hmac-key 'hmac-key'
acme.sh --issue -d fqdn1 --stateless
Im Default werden die Zertifikatsdateien dann im Unterordner
~/.acme.sh/fqdn1/ abgelegt und müssen noch
an die von der Anwendung benötigte Stelle kopiert werden. Als
acmeuser' kann man mit crontab -l
den ggf. schon von acme.sh eingerichteten Renewal-Eintrag sehen und
anpassen bzw. um ein Deployment ergänzen.
Dabei bedeuten:
key-id= die vom IT-Portal ausgegebene (kürzere) Key-IDhmac-key= der vom IT-Portal ausgegebene (längere) HMAC-Keye-mail-adresse= die E-Mail-Adresse, an die der CertBot seine Informationen sendet
Nach erfolgreicher Registrierung werden Key-ID und HMAC-Key vom ACME-Server gelöscht und können nicht mehr verwendet werden.
Wenn eine ACME-ID auf mehreren Servern eingesetzt werden soll, kann
aber das CertBot-Verzeichnis /etc/letsencrypt auf die
weiteren Server kopiert werden.