Verwalten der Einstellungen für Let’s Encrypt

Die Erweiterung von Let’s Encrypt kann über eine Reihe von Einstellungen angepasst werden. Stellen Sie sich dabei die folgenden Fragen:

  • Wie viele Tage vor dem Ablaufdatum sollen Let’s Encrypt-Zertifikate verlängert werden?
  • Sollen Anfragen an den ACME-Server in das Plesk Protokoll aufgenommen werden?
  • Wie groß darf der private RSA-Schlüssel sein?

Sie können für diese Einstellungen benutzerdefinierte Werte in der Konfigurationsdatei panel.ini im Abschnitt [ext-letsencrypt] eingeben. Wenn Let’s Encrypt-Zertifikate zum Beispiel 45 Tage vor dem Ablaufdatum verlängert werden sollen und Sie die Größe des privaten RSA-Schlüssels auf 4096 Bits festlegen möchten, fügen Sie den folgenden Abschnitt in der Datei panel.ini ein:

[ext-letsencrypt]
renew-before-expiration = 45
rsa-key-size = 4096

Dauerhafter Schutz für Websites mit kostenlosen SSL/TLS-Zertifikaten von Let’s Encrypt

Die Let’s Encrypt-Erweiterung kann gehostete Websites mit kostenfreien, vertrauenswürdigen SSL/TLS-Zertifikaten von Let’s Encrypt automatisch dauerhaft schützen. Dieses Feature kann für jeden individuellen Hostingplan aktiviert und deaktiviert werden. Wenn Sie das Feature für einen Hostingplan, für alle Domains, Subdomains, Domain-Aliasse oder Webmail-Dienste aktivieren, die zu einem auf diesem Hostingpaket basierenden Abonnement gehören wie

  • Geschützt mit einem selbstsignierten SSL/TLS-Zertifikat
  • Geschützt mit einem abgelaufenen SSL/TLS-Zertifikat
  • Nicht mit einem SSL/TLS-Zertifikat geschützt

Das selbstsignierte oder abgelaufene SSL/TLS-Zertifikat wird mit einem Let’s Encrypt-Zertifikat ersetzt.

Sie können auch festlegen, dass die Let’s Encrypt-Erweiterung zusätzlich zu selbstsignierten und abgelaufenen SSL/TLS-Zertifikaten SSL/TLS-Zertifikate ersetzt, die nicht von einer der vertrauenswürdigen Zertifizierungsstellen ausgestellt wurden. Legen Sie dazu die Einstellung check-domain-cert-authority auf ‚True‘ fest. Weitere Informationen zur Einstellung check-domain-cert-authority finden Sie in der „Liste der Einstellungen in Let’s Encrypt“.

So schützen Sie Websites dauerhaft mit kostenlosen SSL/TLS-Zertifikaten von Let’s Encrypt:

  1. Gehen Sie zu Service-Pakete.
  2. Klicken Sie auf dem Tab „Hostingpakete“ entweder auf Paket hinzufügen, um ein neues Paket zu erstellen, oder klicken Sie auf den Namen eines bestehenden Pakets, um es zu bearbeiten.
  3. Gehen Sie zum Tab „Zusätzliche Services“.
  4. Wählen Sie unter „SSL It!“ die Option „Websites mit kostenlosen SSL/TLS-Zertifikaten schützen“ aus.
  5. Klicken Sie auf OK.

Nun werden alle Domains, Subdomains, Domain-Aliasse und Webmail-Dienste, die zu auf diesem Hostingpaket basierenden Abonnements gehören, automatisch mit Let’s Encrypt-Zertifikaten gesichert. Diese Änderung betrifft sowohl bestehende als auch neu erstelle Abonnements.

Alternativ können Sie die Option „Websites dauerhaft schützen mit kostenlosem SSL-Zertifikat“ über XML API aktivieren, indem Sie folgende Abfrage senden:

<?xml version="1.0" encoding="UTF-8"?>
<packet>
  <service-plan>
    <add-plan-item>
      <filter>
        <name>Default Domain</name>
      </filter>
      <plan-item>
        <name>urn:ext:letsencrypt:plan-item-sdk:keep-secured</name>
      </plan-item>
    </add-plan-item>
  </service-plan>
</packet>

Liste der Einstellungen in Let’s Encrypt

Alle Einstellungen für die Erweiterung Let’s Encrypt können wie unten beschrieben in panel.ini festgelegt werden:

Einstellung Typ Beschreibung Standardwert
rsa-key-size Ganzzahl Größe des privaten RSA-Schlüssels in Bits 2048
user-agent Zeichenkette User-Agent-HTTP-Header Plesk/$PRODUCT_VERSION
letsencrypt-url Zeichenkette URL der Let’s Encrypt-Website https://letsencrypt.org/
terms-url Zeichenkette URL der Let’s Encrypt-Seite „Policy and Legal Repository“ https://letsencrypt.org/repository/

renew-before-expiration

(veraltet)

Ganzzahl

Zeitpunkt der automatischen Verlängerung eines Zertifikats, in Tagen bis zum Ablaufdatum

Die gleiche Einstellung kann auch für die Erweiterung SSL It! verwendet werden. Die Einstellung für SSL It! hat dann Vorrang vor der Einstellung für Let’s Encrypt.

Diese Einstellung wird derzeit noch unterstützt, später jedoch aus Let’s Encrypt entfernt.

30
config-dir Zeichenkette Pfad zum Speicherort, an dem die Zertifikate für die Integration mit Drittanbietern gespeichert werden $PRODUCT_ROOT/var/modules/letsencrypt/etc
verify Zeichenkette Pfad zum vertrauenswürdigen Root-Zertifikatspaket der Zertifizierungsstelle $PRODUCT_ROOT/admin/plib/modules/letsencrypt/resources/ca/cacert.pem
disable-cleanup Boolesch Bereinigung von Tokendateien nach der Lösung einer Domain-Streitigkeit deaktivieren false
log-requests Boolesch Anfragen an den ACME-Server in das Plesk Protokoll aufnehmen false
secure-new-domain Boolesch Wählen Sie die Standardeinstellung des Kontrollkästchens „Domain sichern mit Let’s Encrypt“, das angezeigt wird, wenn ein neues Abonnement, oder eine neue Domain oder Subdomain erstellt wird. false
letsencrypt-docs-rate-limits-url Zeichenkette Die URL zur Let’s Encrypt-Dokumentation über „Ratenbegrenzungen“. Dieser Link wird in den Fehlermeldungen der Benutzeroberfläche der Erweiterung angezeigt, wenn Ratenbegrenzungen von Let’s Encrypt überschritten worden sind. https://letsencrypt.org/docs/rate-limits/
check-availability-delay Ganzzahl *Die Wartezeit in Sekunden zwischen Prüfungsversuchen, ob der Zugriff auf eine Domain über HTTP möglich ist. 5
check-availability-max-attempts Ganzzahl *Die maximale Anzahl an Prüfungsversuchen, ob der Zugriff auf eine Domain über HTTP möglich ist. 10
check-availability-timeout Ganzzahl *Das Zeitlimit in Sekunden für die Prüfung, ob der Zugriff auf eine Domain über HTTP möglich ist. Wenn innerhalb des für die Verfügbarkeitsprüfung festgelegten Zeitlimit (check-availability-timeout) kein Antwortcode erhalten wurde, wird die Domain als nicht verfügbar erachtet. 5
check-domain-cert-authority Boolesch Wenn die Option „Websites dauerhaft schützen mit kostenlosem SSL-Zertifikat“ aktiviert ist und Sie diese Einstellung auf „falsch“ festlegen, ersetzt die Let’s Encrypt-Erweiterung nur selbstsignierte und abgelaufene SSL/TLS-Zertifikate. Wenn Sie die Einstellung auf „true“ festlegen, ersetzt die Erweiterung auch SSL/TLS-Zertifikate, die von keinem der Root-Zertifikate im vertrauenswürdigen Root-Zertifikatspaket der Zertifizierungsstelle als vertrauenswürdig erachtet werden (siehe Einstellungen verify). false
send-notifications-interval Datumsintervall Bestimmt, wie oft Sie Benachrichtigungen von der Let’s Encrypt-Erweiterung erhalten (zum Beispiel, wenn eine Domain gerade mit einem Let’s Encrypt-Zertifikat gesichert wird oder wenn ein Let’s Encrypt-Zertifikat erneuert wird). Standardmäßig erhalten Sie eine Benachrichtigung pro Tag. Die E-Mail enthält Informationen über alle Ereignisse im Zusammenhang mit Let’s Encrypt, die seit der letzten Benachrichtigung aufgetreten sind. Falls Sie für jedes Ereignis unmittelbar eine separate Benachrichtigung per E-Mail erhalten möchten, legen Sie die Einstellung für sofortige Benachrichtigungen fest. 1 Tag
use-common-challenge-dir   Legt das Verzeichnis für die Challenge fest: /var/www/vhosts/default/.well-known/acme-challenge. WAHR

fallback-registration-email

(veraltet)

 

Wird als E-Mail-Adresse zur Registrierung verwendet, wenn SSL/TLS-Zertifikate erneuert werden. Dies ist nur der Fall, wenn bei der Domainregistrierung keine E-Mail-Adresse in den Moduleinstellungen und für den Domaininhaber festgelegt wurde.

Derzeit muss in Let’s Encrypt eine E-Mail-Adresse angegeben werden, damit ein Zertifikat ausgestellt werden kann. Diese Einstellung wird derzeit noch unterstützt, später jedoch entfernt.

E-Mail-Adresse des Administrators
acme-directory-url   Verzeichnis-URI für Ressource https://acme-v02.api.letsencrypt.org/directory
acme-protocol-version   Version des ACME-Protokolls acme-v02

Bemerkung

*Die Let’s Encrypt-Erweiterung prüft jedes Mal, wenn eine neue Domain gesichert wird, ob auf sie der Zugriff über HTTP möglich ist, da Domains nach dem Erstellen in Plesk ihre Verfügbarkeit zeitweise verlieren können. Alle Einstellungen, die mit check-availability beginnen, werden bei dieser Prüfung angewendet.