Verwalten der Einstellungen für Let’s Encrypt
Die Erweiterung von Let’s Encrypt kann über eine Reihe von Einstellungen angepasst werden. Stellen Sie sich dabei die folgenden Fragen:
- Wie viele Tage vor dem Ablaufdatum sollen Let’s Encrypt-Zertifikate verlängert werden?
- Sollen Anfragen an den ACME-Server in das Plesk Protokoll aufgenommen werden?
- Wie groß darf der private RSA-Schlüssel sein?
Sie können für diese Einstellungen benutzerdefinierte Werte in der Konfigurationsdatei panel.ini im Abschnitt [ext-letsencrypt] eingeben. Wenn Let’s Encrypt-Zertifikate zum Beispiel 45 Tage vor dem Ablaufdatum verlängert werden sollen und Sie die Größe des privaten RSA-Schlüssels auf 4096 Bits festlegen möchten, fügen Sie den folgenden Abschnitt in der Datei panel.ini ein:
[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096
Dauerhafter Schutz für Websites mit kostenlosen SSL/TLS-Zertifikaten von Let’s Encrypt
Die Let’s Encrypt-Erweiterung kann gehostete Websites mit kostenfreien, vertrauenswürdigen SSL/TLS-Zertifikaten von Let’s Encrypt automatisch dauerhaft schützen. Dieses Feature kann für jeden individuellen Hostingplan aktiviert und deaktiviert werden. Wenn Sie das Feature für einen Hostingplan, für alle Domains, Subdomains, Domain-Aliasse oder Webmail-Dienste aktivieren, die zu einem auf diesem Hostingpaket basierenden Abonnement gehören wie
- Geschützt mit einem selbstsignierten SSL/TLS-Zertifikat
- Geschützt mit einem abgelaufenen SSL/TLS-Zertifikat
- Nicht mit einem SSL/TLS-Zertifikat geschützt
Das selbstsignierte oder abgelaufene SSL/TLS-Zertifikat wird mit einem Let’s Encrypt-Zertifikat ersetzt.
Sie können auch festlegen, dass die Let’s Encrypt-Erweiterung zusätzlich zu selbstsignierten und abgelaufenen SSL/TLS-Zertifikaten SSL/TLS-Zertifikate ersetzt, die nicht von einer der vertrauenswürdigen Zertifizierungsstellen ausgestellt wurden. Legen Sie dazu die Einstellung check-domain-cert-authority auf ‚True‘ fest. Weitere Informationen zur Einstellung check-domain-cert-authority finden Sie in der „Liste der Einstellungen in Let’s Encrypt“.
So schützen Sie Websites dauerhaft mit kostenlosen SSL/TLS-Zertifikaten von Let’s Encrypt:
- Gehen Sie zu Service-Pakete.
- Klicken Sie auf dem Tab „Hostingpakete“ entweder auf Paket hinzufügen, um ein neues Paket zu erstellen, oder klicken Sie auf den Namen eines bestehenden Pakets, um es zu bearbeiten.
- Gehen Sie zum Tab „Zusätzliche Services“.
- Wählen Sie unter „SSL It!“ die Option „Websites mit kostenlosen SSL/TLS-Zertifikaten schützen“ aus.
- Klicken Sie auf OK.
Nun werden alle Domains, Subdomains, Domain-Aliasse und Webmail-Dienste, die zu auf diesem Hostingpaket basierenden Abonnements gehören, automatisch mit Let’s Encrypt-Zertifikaten gesichert. Diese Änderung betrifft sowohl bestehende als auch neu erstelle Abonnements.
Alternativ können Sie die Option „Websites dauerhaft schützen mit kostenlosem SSL-Zertifikat“ über XML API aktivieren, indem Sie folgende Abfrage senden:
<?xml version="1.0" encoding="UTF-8"?>
<packet>
<service-plan>
<add-plan-item>
<filter>
<name>Default Domain</name>
</filter>
<plan-item>
<name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
</plan-item>
</add-plan-item>
</service-plan>
</packet>
Liste der Einstellungen in Let’s Encrypt
Alle Einstellungen für die Erweiterung Let’s Encrypt können wie unten beschrieben in panel.ini festgelegt werden:
| Einstellung | Typ | Beschreibung | Standardwert |
|---|---|---|---|
rsa-key-size |
Ganzzahl | Größe des privaten RSA-Schlüssels in Bits | 2048 |
user-agent |
Zeichenkette | User-Agent-HTTP-Header | Plesk/$PRODUCT_VERSION |
letsencrypt-url |
Zeichenkette | URL der Let’s Encrypt-Website | https://letsencrypt.org/ |
terms-url |
Zeichenkette | URL der Let’s Encrypt-Seite „Policy and Legal Repository“ | https://letsencrypt.org/repository/ |
|
(veraltet) |
Ganzzahl |
Zeitpunkt der automatischen Verlängerung eines Zertifikats, in Tagen bis zum Ablaufdatum Die gleiche Einstellung kann auch für die Erweiterung SSL It! verwendet werden. Die Einstellung für SSL It! hat dann Vorrang vor der Einstellung für Let’s Encrypt. Diese Einstellung wird derzeit noch unterstützt, später jedoch aus Let’s Encrypt entfernt. |
30 |
config-dir |
Zeichenkette | Pfad zum Speicherort, an dem die Zertifikate für die Integration mit Drittanbietern gespeichert werden | $PRODUCT_ROOT/var/modules/letsencrypt/etc |
verify |
Zeichenkette | Pfad zum vertrauenswürdigen Root-Zertifikatspaket der Zertifizierungsstelle | $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem |
disable-cleanup |
Boolesch | Bereinigung von Tokendateien nach der Lösung einer Domain-Streitigkeit deaktivieren | false |
log-requests |
Boolesch | Anfragen an den ACME-Server in das Plesk Protokoll aufnehmen | false |
secure-new-domain |
Boolesch | Wählen Sie die Standardeinstellung des Kontrollkästchens „Domain sichern mit Let’s Encrypt“, das angezeigt wird, wenn ein neues Abonnement, oder eine neue Domain oder Subdomain erstellt wird. | false |
letsencrypt-docs-rate-limits-url |
Zeichenkette | Die URL zur Let’s Encrypt-Dokumentation über „Ratenbegrenzungen“. Dieser Link wird in den Fehlermeldungen der Benutzeroberfläche der Erweiterung angezeigt, wenn Ratenbegrenzungen von Let’s Encrypt überschritten worden sind. | https://letsencrypt.org/docs/rate-limits/ |
check-availability-delay |
Ganzzahl | *Die Wartezeit in Sekunden zwischen Prüfungsversuchen, ob der Zugriff auf eine Domain über HTTP möglich ist. | 5 |
check-availability-max-attempts |
Ganzzahl | *Die maximale Anzahl an Prüfungsversuchen, ob der Zugriff auf eine Domain über HTTP möglich ist. | 10 |
check-availability-timeout |
Ganzzahl | *Das Zeitlimit in Sekunden für die Prüfung, ob der Zugriff auf eine Domain über HTTP möglich ist. Wenn innerhalb des für die Verfügbarkeitsprüfung festgelegten Zeitlimit (check-availability-timeout) kein Antwortcode erhalten wurde, wird die Domain als nicht verfügbar erachtet. | 5 |
check-domain-cert-authority |
Boolesch | Wenn die Option „Websites dauerhaft schützen mit kostenlosem SSL-Zertifikat“ aktiviert ist und Sie diese Einstellung auf „falsch“ festlegen, ersetzt die Let’s Encrypt-Erweiterung nur selbstsignierte und abgelaufene SSL/TLS-Zertifikate. Wenn Sie die Einstellung auf „true“ festlegen, ersetzt die Erweiterung auch SSL/TLS-Zertifikate, die von keinem der Root-Zertifikate im vertrauenswürdigen Root-Zertifikatspaket der Zertifizierungsstelle als vertrauenswürdig erachtet werden (siehe Einstellungen verify). |
false |
send-notifications-interval |
Datumsintervall | Bestimmt, wie oft Sie Benachrichtigungen von der Let’s Encrypt-Erweiterung erhalten (zum Beispiel, wenn eine Domain gerade mit einem Let’s Encrypt-Zertifikat gesichert wird oder wenn ein Let’s Encrypt-Zertifikat erneuert wird). Standardmäßig erhalten Sie eine Benachrichtigung pro Tag. Die E-Mail enthält Informationen über alle Ereignisse im Zusammenhang mit Let’s Encrypt, die seit der letzten Benachrichtigung aufgetreten sind. Falls Sie für jedes Ereignis unmittelbar eine separate Benachrichtigung per E-Mail erhalten möchten, legen Sie die Einstellung für sofortige Benachrichtigungen fest. | 1 Tag |
use-common-challenge-dir |
Legt das Verzeichnis für die Challenge fest: /var/www/vhosts/default/.well-known/acme-challenge.
|
WAHR | |
|
(veraltet) |
Wird als E-Mail-Adresse zur Registrierung verwendet, wenn SSL/TLS-Zertifikate erneuert werden. Dies ist nur der Fall, wenn bei der Domainregistrierung keine E-Mail-Adresse in den Moduleinstellungen und für den Domaininhaber festgelegt wurde. Derzeit muss in Let’s Encrypt eine E-Mail-Adresse angegeben werden, damit ein Zertifikat ausgestellt werden kann. Diese Einstellung wird derzeit noch unterstützt, später jedoch entfernt. |
E-Mail-Adresse des Administrators | |
acme-directory-url |
Verzeichnis-URI für Ressource | https://acme-v02.api.letsencrypt.org/directory |
|
acme-protocol-version |
Version des ACME-Protokolls | acme-v02 |
Bemerkung: *Die Let’s Encrypt-Erweiterung prüft jedes Mal, wenn eine neue Domain gesichert wird, ob auf sie der Zugriff über HTTP möglich ist, da Domains nach dem Erstellen in Plesk ihre Verfügbarkeit zeitweise verlieren können. Alle Einstellungen, die mit check-availability beginnen, werden bei dieser Prüfung angewendet.