Wie bereits Anfang des Jahres angekündigt, stellt **Let's Encrypt** nun IP-Adressen- und sechstägige Zertifikate für die allgemeine Öffentlichkeit aus. Das **Certbot**-Team der **Electronic Frontier Foundation** hat an Verbesserungen zur Unterstützung dieser Funktionen gearbeitet, insbesondere an der `--preferred-profile`-Option, die letztes Jahr in Certbot 4.0 veröffentlicht wurde, und der `--ip-address`-Option, neu in Certbot 5.3. Mit diesen Verbesserungen können Sie jetzt **Certbot** verwenden, um diese IP-Adressen-Zertifikate zu erhalten! ### IP-Adressen-Zertifikate mit Certbot erhalten Um ein IP-Adressen-Zertifikat mit Certbot zu erhalten, installieren Sie Version 5.4 oder höher (für `webroot`-Unterstützung mit IP-Adressen) und führen Sie diesen Befehl aus: ```bash sudo certbot certonly --staging \ --preferred-profile shortlived \ --webroot \ --webroot-path <Dateisystempfad zum Webserver-Root> \ --ip-address <Ihre IP-Adresse> ``` **Wichtige Hinweise:** * Die Option `--staging` fordert ein nicht vertrauenswürdiges Zertifikat vom Let's Encrypt-Staging-Server an. Entfernen Sie diese Option für ein öffentlich vertrauenswürdiges Zertifikat, sobald Sie die korrekte Funktionalität bestätigt haben. * Die Option `--preferred-profile shortlived` fordert ein Zertifikat mit dem "shortlived"-Profil von Let's Encrypt an, das 6 Tage gültig ist. Dies ist eine Voraussetzung für IP-Adressen-Zertifikate. ### Installation und Webserver-Konfiguration Derzeit unterstützt **Certbot** nur das *Erhalten* von IP-Adressen-Zertifikaten, nicht deren *Installation* in Ihrem Webserver. Sie müssen Ihre Webserver-Konfiguration manuell bearbeiten, um das neu ausgestellte Zertifikat aus `/etc/letsencrypt/live/<ip address>/fullchain.pem` und `/etc/letsencrypt/live/<ip address>/privkey.pem` zu laden. Das Befehlszeilenbeispiel oben verwendet den "webroot"-Modus von **Certbot**, der eine Challenge-Response-Datei an einem Ort platziert, auf den Ihr laufender Webserver zugreifen kann. Diese Methode vermeidet vorübergehende Serverausfallzeiten. ### Alternative Plugins Zwei weitere Plugins unterstützen derzeit IP-Adressen-Zertifikate: `--manual` und `--standalone`. Das `manual`-Plugin ähnelt `webroot`, aber Certbot pausiert für die manuelle Platzierung der Challenge-Response-Datei (oder führt einen vom Benutzer bereitgestellten Hook aus). Das `standalone`-Plugin führt einen einfachen Webserver aus, um die Challenge-Response bereitzustellen. Obwohl es einfach zu konfigurieren ist, erfordert es das vorübergehende Herunterfahren jedes vorhandenen Webservers auf Port 80. **Hinweis:** Die Plugins `nginx` und `apache` unterstützen noch keine IP-Adressen. ### Automatische Erneuerung Stellen Sie sicher, dass **Certbot** für die automatische Erneuerung konfiguriert ist. Die meisten Installationsmethoden richten dies automatisch ein. Da webserverspezifische Installer jedoch noch keine IP-Adressen-Zertifikate unterstützen, müssen Sie einen `--deploy-hook` einrichten, der Ihren Webserver anweist, die aktualisierten Zertifikate von der Festplatte zu laden. Dieser `--deploy-hook` kann über den Befehl `certbot reconfigure` zusammen mit den oben genannten Flags bereitgestellt werden. Für Hilfe konsultieren Sie das [Community Forum](https://community.letsencrypt.org/) von **Let's Encrypt**.