Wildcard SSL Zertifikate kostenlos erstellen (Let’s Encrypt, ACME v2, Certbot, ECC)

Wildcard SSL Zertifikate kostenlos erstellen (Let’s Encrypt, ACME v2, Certbot, ECC)

Hallo,

nach längerer Zeit melde ich mich nun wieder und zeige, wie man kostenlose ECC Wildcard SSL Zertifikate mit Let’s Encrypt erstellen kann.

Let’s Encrypt hat vor kurzem ACME v2 veröffentlicht und damit auch die Möglichkeit, Wildcard SSL Zertifikate zu erstellen.

Die Voraussetzungen für diese Anleitung sind ein aktuelles Debian System (z.B. Debian 8/9, Ubunu 16.04/18.04, etc.) mit Git und OpenSSL.

Bevor du mit der Erstellung anfangen kannst, installierst du die benötigte Software.

apt-get install nano git openssl

 

Zu Anfang musst du dir Certbot mit Git von GitHub klonen.

Dies geht folgendermaßen: Erst ins richtige Verzeichnis wechseln, in dem du die SSL Zertifikate generieren möchtest und es gegebenenfalls noch erstellen musst.

mkdir /DEIN/VERZEICHNIS && cd /DEIN/VERZEICHNIS

Danach das GitHub Repository klonen und du kannst Certbot nutzen.

git clone https://github.com/certbot/certbot.git

 

Nun erstellst du eine Konfiguration zur Generierung des CSR.

nano req.conf

Hier trägst du folgendes ein:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
CN = DOMAIN
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = DOMAIN
DNS.2 = *.DOMAIN

DOMAIN ersetzt du durch deine Domain (mit .de, .com, .net, etc.)

Natürlich kannst du auch mehrere Domains eintragen (DNS.3, DNS.4, usw.)

 

Als nächstes erstellst du ein Script zur Generierung und vergibst Rechte zum Ausführen der Datei.

nano generate.sh && chmod +x generate.sh

Der Inhalt sieht folgendermaßen aus:

openssl ecparam -genkey -name secp384r1 | openssl ec -out certificate.key
openssl req -new -sha256 -key certificate.key -nodes -out certificate.csr -outform pem -config req.conf
certbot/certbot-auto certonly --manual --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory --csr certificate.csr --cert-path certificate.crt --chain-path certificate.ca-bundle --fullchain-path certificate.crt.ca-bundle

 

Jetzt kannst du mit der Generierung anfangen.

./generate.sh

Das Script zeigt dir nun nacheinander TXT Einträge (_acme-challenge.DEINE_DOMAIN, zwei pro Domain), die du im DNS hinterlegen musst.

Zur Bestätigung, dass der TXT Eintrag gesetzt wurde, die Eingabetaste drücken. Warte hierfür noch kurze Zeit oder vergewissere dich, dass der Eintrag tatsächlich gesetzt wurde (taucht an mindestens einem Standort auf: https://www.whatsmydns.net/).

 

Um das Zertifikat zu erneuern, löscht du zunächst die alten Dateien

rm certificate.*

und führst nun wieder die Generierung durch.

 

Ich hoffe, dir hat die Anleitung gefallen.

Mit freundlichen Grüßen

Lennart Heinrich

Die Kommentare sind geschloßen.