letsencrypt – Online in der Cloud

PROGRAMM:

NAME/FUNKTION

letsencrypt – Dokumentation des Letsencrypt-Skripts

Verwendung:
letsencrypt [UNTERBEFEHL] [Optionen] [-d Domäne] [-d Domäne] ...

Der Let's Encrypt-Agent kann HTTPS/TLS/SSL-Zertifikate abrufen und installieren. Von
Standardmäßig wird versucht, sowohl zum Abrufen als auch zur Installation einen Webserver zu verwenden
das Zertifikat. Die wichtigsten UNTERBEFEHLE sind:

(Standard) Führen Sie „Obtain & install a cert“ auf Ihrem aktuellen Webserver aus
Besorgen Sie sich auf jeden Fall ein Zertifikat, aber installieren Sie es nicht (auch bekannt als „auth“).
install Installiert ein zuvor erhaltenes Zertifikat auf einem Server
Erneuern Erneuern Sie zuvor erworbene Zertifikate, die bald ablaufen
revoke Widerrufen eines zuvor erhaltenen Zertifikats
Rollback Rollback der während der Installation vorgenommenen Serverkonfigurationsänderungen
config_changes Zeigt Änderungen an, die während der Installation an der Serverkonfiguration vorgenommen wurden
Plugins Zeigt Informationen über installierte Plugins an

optionale Argumente:
-h, --help Diese Hilfemeldung anzeigen und beenden
-c CONFIG_FILE, --config CONFIG_FILE
Konfigurationsdateipfad (Standard: Keiner)
-v, --verbose Dieses Flag kann mehrmals inkrementell verwendet werden
Erhöhen Sie die Ausführlichkeit der Ausgabe, z. B. -vvv. (Standard:
-3)
-t, --text Verwenden Sie die Textausgabe anstelle der Curses-Benutzeroberfläche.
(Standard: Falsch)
-n, --non-interactive, --noninteractive
Führen Sie es aus, ohne jemals eine Benutzereingabe anzufordern. Das vielleicht
erfordern zusätzliche Befehlszeilen-Flags; Der Kunde wird es tun
Versuchen Sie zu erklären, welche erforderlich sind, wenn eine gefunden wird
fehlt (Standard: Falsch)
--dry-run Führen Sie einen Testlauf des Clients durch und erhalten Sie test
(ungültige) Zertifikate, aber sie werden nicht auf der Festplatte gespeichert. Das kann
kann derzeit nur mit dem Unterbefehl „certonly“ verwendet werden.
(Standard: Falsch)
--register-unsafely-without-email
Durch Angabe dieses Flags wird die Registrierung eines Kontos ermöglicht
ohne E-Mail-Adresse. Davon wird dringend abgeraten,
denn im Falle eines Schlüsselverlusts oder einer Kontokompromittierung
Sie verlieren unwiderruflich den Zugriff auf Ihr Konto. Du
wird es auch nicht möglich sein, eine Benachrichtigung über drohende Ereignisse zu erhalten
Ablauf oder Widerruf Ihrer Zertifikate. Aktualisierung
der Abonnentenvereinbarung haben weiterhin Auswirkungen auf Sie und
wird 14 Tage nach der Veröffentlichung eines Updates wirksam
Die Webseite. (Standard: Falsch)
-m E-MAIL, --email E-MAIL
E-Mail-Adresse, die für die Registrierung und den Wiederherstellungskontakt verwendet wird.
(Standard: Keine)
-d DOMÄNE, --domains DOMÄNE, --domain DOMÄNE
Anzuwendende Domainnamen. Für mehrere Domains ist dies möglich
Verwenden Sie mehrere -d-Flags oder geben Sie eine durch Kommas getrennte Liste ein
von Domänen als Parameter. (Standard: [])
--user-agent USER_AGENT
Legen Sie eine benutzerdefinierte Benutzeragentenzeichenfolge für den Client fest. Benutzer
Agentenzeichenfolgen ermöglichen es der Zertifizierungsstelle, eine hohe Ebene zu erfassen
Statistiken über Erfolgsraten nach Betriebssystem und Plugin. Wenn
Sie möchten die Version Ihres Server-Betriebssystems vor Let's verbergen
Server verschlüsseln, setzen Sie dies auf „“. (Standard: Keine)

Automatisierung:
Argumente für die Automatisierung der Ausführung und andere Optimierungen

--keep-until-expiring, --keep, --reinstall
Wenn das angeforderte Zertifikat mit einem vorhandenen Zertifikat übereinstimmt, immer
Behalten Sie das bestehende, bis es erneuert werden muss (z
Der Unterbefehl „run“ bedeutet, dass das Vorhandene neu installiert wird
cert) (Standard: False)
--expand Wenn ein vorhandenes Zertifikat eine Teilmenge davon abdeckt
Wenn Sie die gewünschten Namen eingeben, erweitern Sie diese immer und ersetzen Sie sie durch die
weitere Namen. (Standard: Falsch)
--version Versionsnummer des Programms anzeigen und beenden
--force-renewal, --renew-by-default
Wenn für das angeforderte Zertifikat bereits ein Zertifikat vorhanden ist
Domains, erneuern Sie sie jetzt, unabhängig davon, ob dies der Fall ist
kurz vor Ablauf. (Oft ist --keep-until-expiring mehr
geeignet). Impliziert auch --expand. (Standard: Falsch)
--agree-tos Stimmen Sie der Let's Encrypt-Abonnentenvereinbarung zu
(Standard: Falsch)
--account ACCOUNT_ID Zu verwendende Konto-ID (Standard: Keine)
--duplicate Ermöglicht das Erstellen einer Zertifikatsherkunft, die ein Duplikat enthält
bestehender (beide können parallel verlängert werden)
(Standard: Falsch)
--os-packages-only (nurletsencrypt-auto) installiert das Betriebssystempaket
Abhängigkeiten und dann stoppen (Standard: False)
--no-self-upgrade (nurletsencrypt-auto) verhindert dasletsencrypt-auto
verhindert, dass sich das Skript auf eine neuere Version aktualisiert
Versionen (Standard: False)

testen:
Die folgenden Flags dienen nur zu Testzwecken! Verändere dich nicht
es sei denn, Sie wissen wirklich, was Sie tun!

--debug Tracebacks bei Fehlern anzeigen und zulassen
letsencrypt-auto-Ausführung auf experimentellen Plattformen
(Standard: Falsch)
--no-verify-ssl SSL-Zertifikatsüberprüfung deaktivieren. (Standard: Falsch)
--tls-sni-01-port TLS_SNI_01_PORT
Portnummer zur Durchführung der tls-sni-01-Herausforderung. Felsblock
Im Testmodus ist der Standardwert 5001. (Standard: 443)
--http-01-port HTTP01_PORT
Port, der in der SimpleHttp-Challenge verwendet wird. (Standard: 80)
--break-my-certs Seien Sie bereit, gültige Zertifikate durch zu ersetzen oder zu erneuern
Ungültige (Test-/Staging-)Zertifikate (Standard: Falsch)
--test-cert, --staging
Verwenden Sie den Staging-Server, um (ungültige) Testzertifikate zu erhalten.
entspricht --server https://acme-
staging.api.letsencrypt.org/directory (Standard: Falsch)

Sicherheit:
Sicherheitsparameter und Servereinstellungen

--rsa-key-size N Größe des RSA-Schlüssels. (Standard: 2048)
--redirect Leitet den gesamten HTTP-Verkehr automatisch auf HTTPS um
der neu authentifizierte vhost. (Standard: Keine)
--no-redirect Leitet nicht automatisch den gesamten HTTP-Verkehr um
HTTPS für den neu authentifizierten vhost. (Standard:
Keiner)
--hsts Fügt den Strict-Transport-Security-Header zu jedem HTTP hinzu
Antwort. Erzwingen Sie, dass der Browser immer SSL verwendet
die Domäne. Schützt vor SSL-Stripping. (Standard:
FALSCH)
--no-hsts Strict-Transport-Security nicht automatisch hinzufügen
Header für jede HTTP-Antwort. (Standard: Falsch)
--uir Fügen Sie die „Content-Security-Policy: upgrade-insecure-“ hinzu.
„Requests“-Header in jede HTTP-Antwort einfügen. Erzwingen des
Browser, um https:// für jede http://-Ressource zu verwenden.
(Standard: Keine)
--no-uir Setzt die „Content-Security-Policy“ nicht automatisch:
upgrade-insecure-requests“-Header zu jedem HTTP
Antwort. (Standard: Keine)
--strict-permissions Erfordert, dass alle Konfigurationsdateien Eigentum von sind
aktueller Benutzer; Wird nur benötigt, wenn Ihre Konfiguration irgendwo ist
unsicher wie / tmp / (Standard: Falsch)

erneuern:
Der Unterbefehl „renew“ versucht, alle Zertifikate (oder mehr) zu erneuern
Genauer gesagt, Zertifikatslinien), die Sie zuvor erworben haben, falls dies der Fall ist
kurz vor Ablauf, und drucken Sie eine Zusammenfassung der Ergebnisse aus. Standardmäßig „erneuern“
wird die Optionen wiederverwenden, die zum Erstellen von „Abrufen“ oder zuletzt erfolgreich verwendet wurden
Erneuern Sie jede Zertifikatslinie. Sie können es zunächst mit „--dry-run“ versuchen. Für
Durch eine detailliertere Steuerung können Sie einzelne Abstammungslinien mit dem erneuern
Unterbefehl „sicherlich“.

sicherlich:
Optionen zum Ändern der Art und Weise, wie ein Zertifikat erhalten wird

--csr CSR-Pfad zu einer Zertifikatssignierungsanforderung (CSR) in DER
Format; Beachten Sie, dass die .csr-Datei eine enthalten *muss*
Feld „Alternativer Betreffname“ für jede Domain, die Sie verwenden
wollen zertifizieren. Derzeit funktioniert --csr nur mit dem
Unterbefehl „certonly“ (Standard: Keine)

Installieren:
Optionen zum Ändern der Art und Weise, wie ein Zertifikat bereitgestellt wird

widerrufen:
Optionen zum Widerruf von Zertifikaten

Rollback:
Optionen zum Rückgängigmachen von Konfigurationsänderungen

--checkpoints N Konfiguration zurücksetzen N Anzahl der Prüfpunkte.
(Standard: 1)

Plugins:
Plugin-Optionen

--init Plugins initialisieren. (Standard: Falsch)
--prepare Plugins initialisieren und vorbereiten. (Standard: Falsch)
--authenticators Nur auf Authentifizierungs-Plugins beschränkt. (Standard: Keine)
--installers Nur auf Installer-Plugins beschränkt. (Standard: Keine)

Wege:
Argumente, die Ausführungspfade und Server ändern

--cert-path CERT_PATH
Pfad zum Speicherort des Zertifikats (mit auth --csr),
installiert oder widerrufen. (Standard: Keine)
--key-path KEY_PATH Pfad zum privaten Schlüssel für die Zertifikatsinstallation oder
Widerruf (wenn Kontoschlüssel fehlt) (Standard: Keiner)
--fullchain-path FULLCHAIN_PATH
Begleitender Weg zu einer vollständigen Zertifikatskette (cert
plus Kette). (Standard: Keine)
--chain-path CHAIN_PATH
Begleitender Pfad zu einer Zertifikatskette. (Standard:
Keiner)
--config-dir CONFIG_DIR
Konfigurationsverzeichnis. (Standard: /etc/letsencrypt)
--work-dir WORK_DIR Arbeitsverzeichnis. (Standard: /var/lib/letsencrypt)
--logs-dir LOGS_DIR Protokollverzeichnis. (Standard: /var/log/letsencrypt)
--server SERVER ACME-Verzeichnisressourcen-URI. (Standard:
https://acme-v01.api.letsencrypt.org/directory)

Plugins:
Der Let’s Encrypt-Client unterstützt eine erweiterbare Plugin-Architektur. Sehen
„letsencrypt-Plugins“ für eine Liste aller installierten Plugins und deren Namen.
Sie können ein bestimmtes Plugin erzwingen, indem Sie die unten aufgeführten Optionen festlegen.
Laufen --help listet Flags auf, die für dieses Plugin spezifisch sind.

-a AUTHENTICATOR, --authenticator AUTHENTICATOR
Name des Authentifizierungs-Plugins. (Standard: Keine)
-i INSTALLER, --installer INSTALLER
Name des Installer-Plugins (wird auch zum Suchen von Domänen verwendet).
(Standard: Keine)
--configurator KONFIGURATOR
Name des Plugins, das sowohl ein Authentifikator als auch ist
ein Installateur. Sollte nicht zusammen mit verwendet werden
--authenticator oder --installer. (Standard: Keine)
--apache Zertifikate mit Apache abrufen und installieren (Standard: False)
--nginx Zertifikate mit Nginx abrufen und installieren (Standard: Falsch)
--standalone Erhalten Sie Zertifikate über einen „eigenständigen“ Webserver. (Standard:
FALSCH)
--manual Bietet mühsame manuelle Anweisungen zum Erhalten von a
Zertifikat (Standard: Falsch)
--webroot Erhalten Sie Zertifikate, indem Sie Dateien in einem Webroot-Verzeichnis ablegen.
(Standard: Falsch)

Webroot:
Webroot-Authentifikator

-w WEBROOT_PATH, --webroot-path WEBROOT_PATH
public_html / Webroot-Pfad. Dies kann angegeben werden
mehrmals, um verschiedene Domänen zu verwalten; jede
Die Domäne hat den vorangegangenen Webroot-Pfad.
Zum Beispiel: `-w /var/www/example -d example.com -d
www.example.com -w /var/www/thing -d thing.net -d
m.thing.net` (Standard: [])
--webroot-map WEBROOT_MAP
JSON-Wörterbuchzuordnung von Domänen zu Webroot-Pfaden; Das
impliziert -d für jeden Eintrag. Möglicherweise müssen Sie dem entkommen
aus deiner Hülle. Beispiel: --webroot-map
'{"eg1.is,m.eg1.is":"/www/eg1/", "eg2.is":"/www/eg2"}'
Diese Option ist mit der Option verschmolzen, hat jedoch Vorrang vor dieser Option.
-w / -d Einträge. Derzeit, wenn Sie webroot-map einfügen
Wenn Sie eine Konfigurationsdatei benötigen, muss sie in einer einzigen Zeile stehen, etwa:
webroot-map = {"example.com":/ Var / www"}. (Standard:
{})

Null:
Null-Installer

Handbuch:
Konfigurieren Sie manuell einen HTTP-Server

--manual-test-mode Testmodus. Führt den manuellen Befehl im Unterprozess aus.
(Standard: Falsch)
--manual-public-ip-logging-ok
Ermöglicht automatisch die öffentliche IP-Protokollierung. (Standard:
FALSCH)

eigenständige:
Verwenden Sie automatisch einen temporären Webserver

--standalone-supported-challenges STANDALONE_SUPPORTED_CHALLENGES
Unterstützte Herausforderungen. Bevorzugt in der Reihenfolge, in der sie aufgeführt sind
aufgeführt. (Standard: tls-sni-01,http-01)

Nutzen Sieletsencrypt online über die Dienste von onworks.net