Erhalt eines SSL-Zertifikats mit „Let’s Encrypt“
“Let’s Encrypt” ist eine automatisierte Zertifizierungsstelle, die SSL-Zertifikate bereitstellt.
Um ein Zertifikat für eine Domain zu erhalten, muss der Antragsteller nachweisen, dass er Besitzer dieser Domain ist. Die Bestätigung funktioniert wie folgt: Eine Certbot-Anwendung wird auf dem Server der Domain-Website installiert. Diese Anwendung lädt eine bestimmte Datei (Prüfdatei) vom Let’s Encrypt-Server herunter. Die Bot-Anwendung erstellt im Verzeichnis des Webservers ein .well-known-Verzeichnis und legt die Prüfdatei darin ab.
In der zweiten Phase des Bestätigungsprozesses lädt Let’s Encrypt die Prüfdatei von der Domain des überprüften Servers herunter. Wenn die Datei verfügbar ist, vergleicht Let’s Encrypt ihren Namen und Inhalt mit der eigenen Prüfdatei. Wenn alles in Ordnung ist, sendet Let’s Encrypt drei SSL-Zertifikate und eine Datei, die einen privaten Schlüssel enthält.
Um die Konfiguration des Zertifikats abzuschließen, greifen Sie auf die Verwaltungskonsole Ihres Server zu und installieren die Certbot-Anwendung. Eine Installationsanleitung finden Sie auf der offiziellen Website.
Wählen Sie Ihren Webserver und das Betriebssystem aus, auf dem Ihre Website läuft. Es gibt spezielle Plugins für Apache und Nginx, die die Installation im interaktiven Modus ermöglichen. Wir konnten die Zertifikate nicht mit den Plugins erhalten, daher empfehlen wir die Verwendung der Webroot-Methode.
Für diese Anleitung haben wir einen Apache-Server auf einer Azure-virtuellen Maschine installiert. Der Apache-Server enthält einen virtuellen Host für Certbot, um die Prüfdatei abzulegen. Dann haben wir den folgenden Befehl verwendet:
sudo certbot certonly --webroot -w /etc/httpd/www -d ineedcertfromletsencrypt.tk
um SSL-Zertifikate für die Domain ineedcertfromletsencrypt.tk anzufordern und zu erhalten. Es handelt sich um eine kostenlose Domain, die für diese Anleitung registriert wurde. /etc/httpd/www in der Befehlszeile ist der Pfad zum Verzeichnis des virtuellen Hosts.
Unabhängig davon, welchen Webserver Sie für Ihre Domain verwenden, gibt es einige wichtige Bedingungen für den Erhalt der Zertifikate.
- Der Webserver sollte auf den Ports 80 und 443 lauschen
- Der Zugriff auf die Hostinhalte sollte offen sein. Es ist erforderlich, über die URL im folgenden Format zugänglich zu sein: http://domainname.com/.well-known/checkfile, wobei domainname der Name der Domain ist, für die Sie ein Zertifikat erhalten möchten, und checkfile der Name der Prüfdatei ist.
- Certbot sollte berechtigt sein, im Verzeichnis /.well-known zu schreiben und zu lesen sowie Unterverzeichnisse innerhalb des Ordners zu erstellen (genauer gesagt im Verzeichnis .well-known).
Wenn Sie alle Bedingungen erfüllt haben und der Zertifizierungsprozess erfolgreich abgeschlossen wurde, finden Sie Ihre Zertifikate im Verzeichnis /etc/letsencrypt/archive/ (
Wichtiger Hinweis: Es könnte fehlschlagen, ein Zertifikat für eine Subdomain zu erhalten, da Let’s Encrypt nur mit der Top-Level-Domain arbeitet. Daher haben wir versucht, ein Zertifikat für die Domain letsencrypt.westus.cloudapp.azure.com zu erhalten, aber Let’s Encrypt antwortete, dass wir das Limit für Zertifikate für die Domain azure.com überschritten haben. Aus diesem Grund haben wir eine kostenlose Domain ineedcertfromletsencrypt.tk registriert und eine Weiterleitung auf letsencrypt.westus.cloudapp.azure.com eingerichtet.
Als letzten Schritt fügen Sie den privaten Schlüssel und das Zertifikat, das Sie erhalten haben, in die Datei appfirewall.pem ein, die sich im Installationsordner von DataSunrise befindet.
Nächste