TLS-Zertifikate über das ACME Protokoll auf Linux erwerben

Möchten Sie, dass Ihre Zertifikate automatisch ausgestellt und nachfolgend auf Ihren Linux-Server auch automatisch installiert werden? Dies ermöglicht Ihnen das automatisierte Tool für Abholung und Verwaltung der Zertifikate Certbot. Unsere Anleitung führt Sie durch den Prozess durch. Sie ist zwar für den Webserver Apache bestimmt, aber Certbot kann auch für Nginx, Haproxy oder Plesk ausgenutzt werden. Es handelt sich um eine offene und somit frei zugängliche Software.

Vor dem Zertifikatserwerb

Bevor die Ausstellung und Installierung automatisiert werden können, müssen Sie sich mit unserem Kundensupport verbinden und eine individuelle Vorbereitung treffen, die für jeden Kunden unikal ist.

  • Der erste Schritt besteht in der Verifizierung Ihres Unternehmens und der Domains, die Sie absichern möchten. Dies müssen Sie in Zusammenarbeit mit dem Team von SSLmarket tun, welches Sie während des ganzen Prozesses unterstützen wird.
  • Nach der erfolgreichen Verifizierung erstellen wir für Sie bei der Zertifizierungsstelle Ihre unikale ACME Directory URL. Diese URL wird Ihr ACME Client (in diesem Fall also Certbot) für den Zertifikatserwerb ausnutzen.
  • ACME Directory URL ist für jeden Kunden und für jedes Produkt unikal. Dieselbe URL kann nicht von mehreren Kunden ausgenutzt werden.

Certbot auf dem Server vorbereiten

Installieren Sie Certbot auf Ihren Server. Wir empfehlen Ihnen, die Module nach dem Typ des Webservers zu installieren. Die Module werden Ihnen nachfolgend die Auswahl des Zielwebs für die Einsetzung des Zertifikats und auch die Installierung selbst erleichtern, weil sie direkt mit der Serverkonfiguration zusammenarbeiten können.

Notiz: Auf den offiziellen Seiten von Certbot können Sie direkt Ihr Operationssystem des Servers und die ihm bestimmte Anleitung aussuchen, in welcher Sie die Installierung Schritt für Schritt beschrieben finden.

Erwerb des Zertifikats und seine Installierung

Im Terminal beantragen Sie das Zertifikat mit dem Befehl:
sudo certbot --apache --register-unsafely-without-email --server “Ihre ACME Directory URL” -d www.nameihrerdomain.de -d nameihrerdomain.de
Wählbare Parameter des Befehls:

  • Certbot – Löst Certbot aus.
  • --apache – Wählt das Plug-in Apache Certbot aus, welches für Sie das Zertifikat installiert.
  • --register-unsafely-without-email – Ermöglicht die Erstellung des ACME-Kontos zu überspringen.
  • --server – Bestimmt, welcher ACME-Server Ihre Anforderung erfüllen sollte. Definiert also die ACME Directory URL.
  • - d – Der ganze Name der Domain, für welche Sie das Zertifikat ausstellen lassen möchten. Falls Sie diese Möglichkeit nicht ausfüllen, wird Sie Certbot aufgrund der konfigurierten Vhosts auf dem Server fragen, welche Domains Sie in die Anforderung einbeziehen möchten. Die gewünschten Domains werden Sie bestätigen müssen.

Nachdem Sie den Befehl eingeben, werden Sie befragt, ob Sie auf der gegebenen Domain auch die erzwungene Umleitung auf htttps einschalten möchten: Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Führen Sie die Auswahl durch und drücken Sie ENTER. Die von Ihnen ausgewählte Konfiguration wird eingestellt und nach dem Neustart des Webservers eingelesen. Nachfolgend erhalten Sie einen Abschlussbericht darüber, dass der Prozess erfolgreich war und wo Ihre Zertifikate gespeichert sind: Output
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2017-10-23. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly" option. To non-interactively renew *all* of your
certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

Das Certbot installiert für Sie auch das erforderliche Intermediate Zertifikat. Um die Installierung zu überprüfen nutzen Sie unseren online Checker für die Kontrolle der Installation aus.

Allgemeines

Für die Automatisierung der Ausstellung von Zertifikaten sind einige Regeln zu befolgen. Deshalb beachten Sie auch die folgenden Punkte:

  • DV-Zertifikate werden momentan nicht unterstützt.
  • Vor der Zertifikatsausstellung muss die Firma verifiziert werden und nachfolgend auch die Domains.
  • Bei Domains muss es zu sog. Preveting kommen. Dieses hat zwei Phasen:
    • 1. DCV also Bestätigung der Domain (E-Mail, DNS, TXT)
    • 2. Die verifizierte Domain wird zu der verifizierten Firma zugeordnet und diese kann sie ausnutzen.
  • Die ACME URL ist für ein konkretes Produkt und ein konkretes Unternehmen gültig. Deshalb werden Sie wahrscheinlich mehrere URLs benötigen.
Die Anleitung soll nur als Beispiel dienen, entscheidend ist die individuelle Einstellung Ihres Servers.