Die kostenlose Zertifizierungsstelle Let’s Encrypt stellt ab sofort auch Wildcard Zertifikate für eure Domain aus. Wir zeigen euch wie ihr dieses ganz einfach erstellt.
Let’s Encrypt
Let’s Encrypt ist eine Zertifizierungsstelle, welche seit 2015 kostenlose SSL Zertifikate ausstellt. Die Ausstellung dieser Zertifikate funktioniert dabei voll automatisch. Somit erhält man sein gewünschtes Zertifikat schon nach wenigen Sekunden.
Das Ziel der Organisation ist es die verschlüsselte Übertragung von Webseiten zum Standard zu machen. Der einzige Nachteil dieser Zertifikate ist, dass diese alle 90 Tage erneuert werden müssen. Dies kann aber über ein Script sehr einfach automatisiert werden.
Wildcard Zertifikat
Mit einem Wildcard Zertifikat kann ganz einfach jede Subdomain mit SSL abgesichert werden ohne dabei für jede einzelne ein gesondertes Zertifikat erstellen zu müssen. Somit wird dem Administrator das Leben sehr erleichtert, da er sich nur um genau ein Zertifikat kümmern muss. Dazu kopiert er das Wildcard Zertifikat einfach auf die gewünschten Server und passt anschließende die Konfiguration des Webservers an. Schon ist die Übertragung verschlüsselt. Klingt einfach? Ist es auch!
Certbot installieren
Bevor wir die Ausstellung des Zertifikats beantragen können, benötigen wir das Tool Certbot. Hierfür müssen wir zunächst das Debian Stretch Backports Repository einbinden.
sudo apt-get install ca-certificates apt-transport-https
echo "deb https://deb.debian.org/debian stretch-backports main" | sudo tee /etc/apt/sources.list.d/backports.list sudo apt-get updateCode-Sprache: PHP (php)Anschließend beginnen wir mit der Installation des Certbots.
sudo apt-get install certbot python-certbot-apache -t stretch-backportsCode-Sprache: JavaScript (javascript)Wildcard Zertifikat erstellen
Nun beginnen wir mit der Erstellung des Wildcard Zertifikats. Hierzu geben wir folgendes Kommando auf unserem Server ein.
#ersetz deinewebseite.de durch deine Domain
certbot --manual certonly -d *.deinewebseite.deCode-Sprache: CSS (css)Nachdem du diesen Befehl ausgeführt hast erhältst du folgende Ausgabe. Zur Sicherheit loggt Let’s Encrypt deine IP Adresse mit, deshalb bestätigen wir diese Abfrage mit Yes.
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for deinewebseite.de
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.
Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Yes
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.deinewebseite.de with the following value:
Q7b6MLzkMsut41hmo9bZW5m9Z3zsf9nKRMr2p4nN
Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
Code-Sprache: PHP (php)Jetzt musst du einen TXT DNS Eintrag mit folgendem Inhalt erstellen. Dieser Schritt ist notwendig da du hiermit bestätigst, dass die Domain auch wirklich dir gehört.
_acme-challenge IN TXT "Q7b6MLzkMsut41hmo9bZW5m9Z3zsf9nKRMr2p4nN"Code-Sprache: JavaScript (javascript)Anschließend solltest du etwa 20 Minuten warten bevor du auf der Kommandozeile die Entertaste drückst. Es sollte anschließend folgende Ausgabe in der Kommandozeile erscheinen.
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/deinewebseite.de/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/deinewebseite.de/privkey.pem
Your cert will expire on 2019-08-24. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-leCode-Sprache: PHP (php)Das Wildcard Zertifikat wurde nun erstellt und kann für jeden beliebige Subdomain verwendet werden.
Werbung
Hallo,
super Artikel. Wie kann ich mir mit Certbot parallel zum RSA-Zertifikat noch ein ECDSA-Zertifikat ausstellen lassen?
Danke & Gruß
Jan
Hallo,
zu erwähnen wäre, dass hier keine automatische Verlängerung ohne Interaktion möglich ist.
Sprich: Man ändert den DNS-Eintrag alle drei Monate „von Hand“.
Gruß,
Jörg