PSW GROUP (Logo)
Support & Beratung

+49 661 480 276 10

SecurITy made in Germany Logo – PSW GROUP
Trusted Shops Logo – PSW GROUP
EHI Logo – PSW GROUP
Login / Registrieren
Login
Inhalt
PSW GROUP Newsletter
Jetzt anmelden

ACME unter Certbot – Einrichtungsanleitung

In der nachfolgenden Anleitung wird beschrieben, wie Sie über „Certbot“ ein Zertifikat mittels ACME beziehen.

Das Zertifikat wird dabei automatisch installiert und auch automatisch erneuert.

Mit der Bestellung eines ACME-Produktes bei der PSW GROUP erhalten Sie entsprechenden ACME-Credentials. Mit diesen Zugangsdaten erkennt der ACME-Client, wo er welche Zertifikate abrufen kann.

Tipp: Wie Sie ein ACME-Produkt bestellen und wo Sie die ACME-Credentials finden, wird in diesem Artikel beschrieben.

Einrichtung:

Kopieren Sie Ihre ACME-Zugangsdaten aus Ihrem PSW-Account und fügen Sie diese in den ACME-Client Ihrer Wahl ein.

In dieser Anleitung verwenden wir den ACME-Client „Certbot“.

certbot-anleitung

Nachdem Sie den Befehl eingefügt und „Enter“ gedrückt haben, fragt der Certbot, ob Sie einen Account bei Certbot erstellen möchten.

Die Registrierung ist optional und wird für die Nutzung des Clients nicht benötigt.

Wir überspringen daher diesen Punkt, indem wir das Feld leer lassen und nochmals „Enter“ drücken.

Nun fragt Sie Certbot, für welche Domain Sie die automatische Erstellung und Erneuerung aktivieren möchten.

certbot-domain

Sie können dabei mittels der Zahlen vor der jeweiligen Domain steuern, welche Domain abgesichert werden soll.

Mehrere Domains können mittels Komma selektiert werden. Sollten Sie das Feld leer lassen, werden automatisch alle Domains gewählt.

Hinweis: Zertifikate sind mit Kosten verbunden und werden jeweils abgerechnet. ACME-Zertifikate sind nicht Erstattungsfähig.

ACME Auswahl

Wenn Sie Ihre Auswahl getroffen und mit „Enter“ bestätigt haben, wird über Ihre Zugangsdaten ein Zertifikat beantragt und ausgerollt.

Der Certbot zeigt Ihnen dabei auch an, wo er die Zertifikate abgelegt hat und wann das Zertifikat ausläuft. Die Erneuerung wird dabei vom Certbot automatisch übernommen.

Herzlichen Glückwunsch! Sie haben erfolgreich ACME aktiviert und eingerichtet

ACME eingerichtet

Installation prüfen:

Mit dem folgenden Befehl können Sie unter Certbot testen, welche Zertifikate erstellt wurden und installiert sind.

certbot certificates

Außerdem erhalten Sie Einsicht in eine Reihe von Zusatzinformationen wie der Pfad zum Zertifikat, der Zertifikats-Algorithmus, die Seriennummer sowie das Ablaufdatum.

ACME Zusatz Informationen

Zertifikate erneuern:

Wenn Sie ein Zertifikat vor dem Ablauf tauschen möchten, können Sie denselben Befehl nutzen, wie wenn Sie ein neues Zertifikat beantragen möchten.

Tipp: Sollten Sie den Befehl nicht mehr kennen, finden Sie diesen in Ihrem PSW-Account bei dem jeweiligen ACME-Client unter dem Punkt „Zugangsdaten“

Wählen Sie nun die Domain, für die Sie das Zertifikat erneuern möchten. Certbot erkennt nun, dass es bereits ein Zertifikat gibt und startet einen „Renew“.

acme-zertifikat-erneuern

Der Zertifikatstausch wird anschließend mit einer positiven Meldung bestätigt. Auch hier wird Ihnen wieder angezeigt, wo das Zertifikat sowie der passende private Schlüssel abgelegt wurden und wann das neue Zertifikat abläuft.

Hinweis: Ein neues Zertifikat bedeutet auch immer neue Kosten!

acme-zertifikatsaustausch

Sollte das Zertifikat vor kurzem erst erneuert worden sein, kann es sein, dass Certbot Sie fragt ob Sie das Zertifikat schlicht neu installieren möchten.

  • Mit der Auswahl „1“ können Sie zunächst versuchen das bereits vorhandene Zertifikat neu zu installieren.
  • Mit der Auswahl „2“ beantragt Certbot ein neues Zertifikat für Sie und installiert dieses anschließend.

Hinweis: Ein neues Zertifikat bedeutet auch immer neue Kosten!

zertifikat-neu-installieren

Zertifikate zurückziehen:

Wenn Sie ein Zertifikat zurückziehen und für ungültig deklarieren möchten, nutzen Sie für Certbot bitte den nachfolgenden Befehl.

certbot –server {SERVER-URL} –eab-kid {KID-NUMMER} –eab-hmac-key {HMAC-KEY} revoke –cert-path {CERT-URL}

Nachfolgend ein Beispiel wie ein korrekter „Revoke“-Befehl aussieht.

acme-revoke-befehl

Wenn die Zugangsdaten und der Pfad stimmen, fragt Sie Certbot ob Sie das Zertifikat nur für ungültig deklarieren oder gar komplett löschen möchten.

  • Mit der Auswahl „Y“ wird das Zertifikat vollends gelöscht!
  • Mit der Auswahl „N“ wird das Zertifikat für ungültig deklariert.

Wir empfehlen Zertifikate zunächst nur zu deaktivieren.

Prüfen Sie zunächst, ob das Zertifikat vom Server noch verwendet wird, bevor Sie es vollends löschen.

acme-zertifikat-ungültig

In unserem Beispiel haben wir das Zertifikat zunächst für ungültig deklariert. Das Zertifikat ist nicht länger vertrauenswürdig und kann nicht länger genutzt werden.

acme-zertifikat-ungültig2

Automatische Verlängerung deaktivieren:

Wenn Sie die automatische Verlängerung für eine Domain stoppen möchten, rufen Sie mit dem NANO- oder VI-Befehl die Configdatei der entsprechenden Domain auf.

Achten Sie bitte darauf, dass Sie die Configdatei wählen, in der die Domain, die gestoppt werden soll, vorhanden ist. Die Config befindet sich im Regelfall unter /etc/letsencrypt/renewal.

nano {DOMAIN-CONFIG-DATEI}

Um die automatische Verlängerung zu stoppen, muss lediglich der Wert „autorenew“ in der Configdatei von „True“ auf „False“ gesetzt werden.

acme-automatische-verlängerung

War dieser Artikel hilfreich?
Empfohlene Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

PSW GROUP
SSL-ZERTIFIKATE
E-MAIL-ZERTIFIKATE
CODE SIGNING
SOFTWARELIZENZEN
MPKI SERVICE
SERVICE
SCHULUNGEN
BERATUNG
RECHTLICHES
PSW GROUP GmbH & Co. KG, Flemingstraße 20-22, 36041 Fulda