_CORE
Služby
AI & agentní systémy Podnikové informační systémy Cloud & Platform Engineering Datová platforma & integrace Bezpečnost & compliance QA, testování & observabilita IoT, automatizace & robotika Mobilní & digitální produkty
Odvětví
Bankovnictví & finance Pojišťovnictví Veřejná správa Obrana & bezpečnost Zdravotnictví Energetika & utility Telco & média Průmysl & výroba Logistika & e-commerce Retail & věrnostní programy
Reference Technologie
Lab
Blog Know-how Nástroje
O nás Spolupráce Kariéra
CS EN DE
Pojďme to probrat

Let's Encrypt tutorial — automatické HTTPS certifikáty

15. 08. 2025 Aktualizováno: 27. 03. 2026 1 min čtení intermediate

Let’s Encrypt poskytuje bezplatné TLS certifikáty s automatickou obnovou a žádný důvod nemít HTTPS neexistuje. Certifikáty jsou platné 90 dní, což motivuje k automatizaci obnovy a snižuje dopad případné kompromitace klíče. Let’s Encrypt vydává přes 400 milionů certifikátů a je důvěryhodný ve všech moderních prohlížečích a operačních systémech.

Instalace a použití

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d example.com -d www.example.com

Certbot automaticky upraví Nginx konfiguraci — přidá SSL direktivy, přesměrování z HTTP na HTTPS a nastaví cesty k certifikátům. Pro Apache existuje ekvivalentní plugin python3-certbot-apache. Certbot podporuje i standalone mode bez webového serveru, který je užitečný pro servery s nestandardní konfigurací.

Wildcard certifikát

sudo certbot certonly --dns-cloudflare \
  --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
  -d '*.example.com' -d example.com

Wildcard certifikáty pokrývají všechny subdomény jedním certifikátem. Vyžadují DNS-01 challenge — certbot ověřuje vlastnictví domény vytvořením TXT DNS záznamu. Pro automatizaci je potřeba DNS plugin (Cloudflare, Route53, DigitalOcean a další). DNS challenge je také jedinou možností pro servery, které nejsou dostupné z internetu.

Automatická obnova

sudo certbot renew --dry-run
# Crontab nebo systemd timer:
# 0 0 1 * * certbot renew --quiet --deploy-hook "systemctl reload nginx"

Certbot automaticky nastaví systemd timer pro obnovu. Deploy hook zajistí reload webového serveru po obnově certifikátu. Ověřte funkčnost příkazem --dry-run před ostrým nasazením. Certbot obnovuje certifikáty 30 dní před expirací, takže je dostatek času na řešení případných problémů.

Testování

Po nasazení ověřte konfiguraci na SSL Labs (ssllabs.com/ssltest/) — cíl je hodnocení A nebo A+. Zkontrolujte, že HTTP přesměrovává na HTTPS, HSTS header je nastaven a certifikát pokrývá všechny požadované domény.

Klíčový takeaway

Let’s Encrypt + certbot = bezplatné HTTPS za 5 minut. Nastavte automatickou obnovu a deploy hook, ověřte na SSL Labs. Pro Kubernetes prostředí použijte cert-manager místo certbotu.

securitylet's encrypthttpscertbot
Sdílet:

CORE SYSTEMS tým

Stavíme core systémy a AI agenty, které drží provoz. 15 let zkušeností s enterprise IT.

Všechny články

Další know-how

SSL/TLS — bezpečnostní best practices pro 2014

Heartbleed změnil pravidla hry. Kompletní průvodce SSL/TLS konfigurací pro rok 2014 — cipher suites, HSTS,...

Let's Encrypt: bezplatné SSL certifikáty pro každého

Let's Encrypt otevírá public beta a nabízí automatizované, bezplatné TLS certifikáty. HTTPS se stává standardem —...

SSL/TLS konfigurace — bezpečné HTTPS

Správná konfigurace TLS 1.3, cipher suites, certifikáty.

Let's Encrypt — HTTPS pro každý web zdarma

Jak Let's Encrypt demokratizoval HTTPS. Automatické certifikáty zdarma pro všechny naše domény.