Debian 9 – Wildcard SSL Zertifikat von Let’s Encrypt

Wildcard SSL Zertifikat

Die kostenlose Zertifizierungsstelle Let’s Encrypt stellt ab sofort auch Wildcard Zertifikate für eure Domain aus. Wir zeigen euch wie ihr dieses ganz einfach erstellt.

Werbung

Let’s Encrypt

Let’s Encrypt ist eine Zertifizierungsstelle, welche seit 2015 kostenlose SSL Zertifikate ausstellt. Die Ausstellung dieser Zertifikate funktioniert dabei voll automatisch. Somit erhält man sein gewünschtes Zertifikat schon nach wenigen Sekunden.
Das Ziel der Organisation ist es die verschlüsselte Übertragung von Webseiten zum Standard zu machen. Der einzige Nachteil dieser Zertifikate ist, dass diese alle 90 Tage erneuert werden müssen. Dies kann aber über ein Script sehr einfach automatisiert werden.

Wildcard Zertifikat

Mit einem Wildcard Zertifikat kann ganz einfach jede Subdomain mit SSL abgesichert werden ohne dabei für jede einzelne ein gesondertes Zertifikat erstellen zu müssen. Somit wird dem Administrator das Leben sehr erleichtert, da er sich nur um genau ein Zertifikat kümmern muss. Dazu kopiert er das Wildcard Zertifikat einfach auf die gewünschten Server und passt anschließende die Konfiguration des Webservers an. Schon ist die Übertragung verschlüsselt. Klingt einfach? Ist es auch!


Certbot installieren

Bevor wir die Ausstellung des Zertifikats beantragen können, benötigen wir das Tool Certbot. Hierfür müssen wir zunächst das Debian Stretch Backports Repository einbinden.

Werbung

sudo apt-get install ca-certificates apt-transport-https echo "deb https://deb.debian.org/debian stretch-backports main" | sudo tee /etc/apt/sources.list.d/backports.list sudo apt-get update
Code-Sprache: PHP (php)

Anschließend beginnen wir mit der Installation des Certbots.

sudo apt-get install certbot python-certbot-apache -t stretch-backports
Code-Sprache: JavaScript (javascript)

Wildcard Zertifikat erstellen

Nun beginnen wir mit der Erstellung des Wildcard Zertifikats. Hierzu geben wir folgendes Kommando auf unserem Server ein.

#ersetz deinewebseite.de durch deine Domain certbot --manual certonly -d *.deinewebseite.de
Code-Sprache: CSS (css)

Nachdem du diesen Befehl ausgeführt hast erhältst du folgende Ausgabe. Zur Sicherheit loggt Let’s Encrypt deine IP Adresse mit, deshalb bestätigen wir diese Abfrage mit Yes.

Werbung

Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator manual, Installer None Obtaining a new certificate Performing the following challenges: dns-01 challenge for deinewebseite.de - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you're running certbot in manual mode on a machine that is not your server, please ensure you're okay with that. Are you OK with your IP being logged? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Yes - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.deinewebseite.de with the following value: Q7b6MLzkMsut41hmo9bZW5m9Z3zsf9nKRMr2p4nN Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue
Code-Sprache: PHP (php)

Jetzt musst du einen TXT DNS Eintrag mit folgendem Inhalt erstellen. Dieser Schritt ist notwendig da du hiermit bestätigst, dass die Domain auch wirklich dir gehört.

_acme-challenge IN TXT "Q7b6MLzkMsut41hmo9bZW5m9Z3zsf9nKRMr2p4nN"
Code-Sprache: JavaScript (javascript)

Anschließend solltest du etwa 20 Minuten warten bevor du auf der Kommandozeile die Entertaste drückst. Es sollte anschließend folgende Ausgabe in der Kommandozeile erscheinen.

Waiting for verification... Cleaning up challenges IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/deinewebseite.de/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/deinewebseite.de/privkey.pem Your cert will expire on 2019-08-24. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Code-Sprache: PHP (php)

Das Wildcard Zertifikat wurde nun erstellt und kann für jeden beliebige Subdomain verwendet werden.

Werbung

2 Comments

  1. Hallo,

    zu erwähnen wäre, dass hier keine automatische Verlängerung ohne Interaktion möglich ist.

    Sprich: Man ändert den DNS-Eintrag alle drei Monate „von Hand“.

    Gruß,
    Jörg

Schreibe einen Kommentar zu Internet Speedtest Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.