Das Vergnügen, eine schöne Domain wie Sensorenresidenz.de zu besitzen, trübt sich ein mit jeder angelegten Subdomain, die der Admin mit einem X.509-Zertifikat für seine Web-Unterfangen unterfüttern will oder muss. Kolumnist Charly vom Niederrhein kann die Laune wieder heben.
Zertifikate von Let’s Encrypt [1] sind kostenlos und beliebt – angeblich stammt schon die Hälfte aller im Web verwendeten digitalen Beglaubigungen von dort. Wer bisher allerdings Webserver mit vielen Subdomains betrieb, hatte das Missvergnügen, einen Sack voller Zertifikate verwalten zu müssen. Ein einziges Wildcard-Zertifikat von einer der üblichen Zertifizierungsstellen löst das Problem zwar grundsätzlich, ist aber teuer.
Das hat sich im März 2018 geändert: Denn alle, die Zugriff auf den DNS-Server für ihre Domainnamen haben, können seither auch Wildcard-Zertifikate von Let’s Encrypt beziehen.
Wer den Let’s-Encrypt-Client noch nicht installiert hat, lädt ihn mit:
git clone https://github.com/letsencrypt/letsencrypt
Danach müssen Webadmins meist noch einige Python-Pakete nachziehen. Das erledigt
letsencrypt/letsencrypt-auto --help
das sie zum Auftakt nach ihrem »sudo«-Passwort fragen wird. Let’s Encrypt benutzt ein DNS-basiertes Challenge-Response-Verfahren zur Authentifizierung.
Let’s dance
Mit dem folgenden Kommando fordere ich ein Zertifikat für den Namensraum »*.sensorenresidenz.de« (ja, eine Bierlaune …) an:
sudo /usr/local/letsencrypt/letsencrypt-auto certonly --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory --email charly@kuehnast.com --domains *.sensorenresidenz.de
Nach einer Gedenksekunde antwortet der Let’s-Encrypt-Client. Er wünscht, dass ich im DNS einen TXT-Eintrag mit dem Namen »_acme-challenge.sensorenresidenz.de« platziere mit einer vorgegebenen Zufallszeichenkette als Inhalt:
Please deploy a DNS TXT record under the name _acme-challenge.sensorenresidenz.de with the following value: ST8ehm-bKS6wRAxZk5vYDzUO9-OEr3NeIpClFyaq-kA Before continuing, verify the record is deployed.
Nachdem ich den Eintrag angelegt und überprüft habe, dass er abrufbar ist, drücke ich [Enter]. Let’s Encrypt ruft meinen Antrag ab und verifiziert ihn. Dann erzeugt es Zertifikat (»fullchain.pem«) und Schlüssel (»privkey.pem«) und legt beide unter »/etc/letsencrypt/live/Name« und Beifall (Listing 1) ab.
Das Einbinden des Zertifikats in den Webserver funktioniert wie immer. Der Browser ist jedenfalls sehr glücklich mit dem Zertifikat, das meine Server nun ausliefern (Titelbild).
Wildcard-Zertifikate von Let’s Encrypt laufen wie alle anderen Zertifikate des Ausstellers nach 90 Tagen ab. Um sie zu erneuern, reicht der Aufruf von »letsencrypt-auto renew«.
Listing 1
Geschafft!
01 Congratulations! Your certificate and chain have been saved at: 02 /etc/letsencrypt/live/sensorenresidenz.de/fullchain.pem 03 Your key file has been saved at: 04 /etc/letsencrypt/live/sensorenresidenz.de/privkey.pem 05 Your cert will expire on 2018-08-07. To obtain a new or tweaked version of this certificate in the future, simply run letsencrypt-auto again. To non-interactively renew *all* of your certificates, run "letsencrypt-auto renew".
Infos
- Let’s Encrypt: https://letsencrypt.org








this is not working anymore on debian 11.11
root@linuxmagazin:$ ./letsencrypt-auto certonly…
Skipping bootstrap because certbot-auto is deprecated on this system.
Your system is not supported by certbot-auto anymore.
Certbot cannot be installed.