Anleitung: Let's Encrypt Zertifikate manuell bereitstellen ‐ Seite 2/2

Schritt für Schritt zum Let's-Encrypt-Zertifikat im Manual Mode

Genau hier setzt unsere Anleitung an, denn wir erklären das Verfahren Schritt für Schritt: Von der Installation der benötigten Software, über deren Aufruf bis zur Domain-Validierung und den Zugriff auf die heiß ersehnten Zertifikatdateien.

1. Man benötigt einen PC mit installiertem Linux, sei es als primäres Betriebssystem, als virtuelle Maschine oder über das Windows Subsystem for Linux (WSL). Wir gehen hier von einer Debian-basierten Distribution (z.B. Ubuntu, Mint, Antix) aus.
2. Dort öffnen wir ein Terminal-Fenster. Zunächst müssen die Software-Quellen eingerichtet und aktualisiert werden:
   sudo apt-get install software-properties-common
sudo add-apt-repository universe
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update

3. Aus diesen Quellen installieren wir die benötigte Software namens certbot:
   sudo apt-get install certbot
4. Hat dies funktioniert, müssen wir uns für eine Methode entscheiden, über die wir die Eigentümerschaft der mit Zertifikaten zu versehenden Domains und Sub-Domains nachweisen können. Besteht die Möglichkeit, einen DNS-Eintrag vorzunehmen, kommt folgender Aufruf zum Einsatz:
   sudo certbot certonly --manual --preferred-challenges dns
   
   Leider ist die DNS-Methode nicht immer möglich, weshalb es die HTTP-Methode als Ausweg gibt. Hierbei muss man lediglich Textdateien auf der Webseite bereitstellen. Der Aufruf lautet dann wie folgt:
   sudo certbot certonly --manual --preferred-challenges http
5. Nun folgen einige Eingaben wie die E-Mail-Adresse und die Liste der Domains sowie ein paar Bestätigungen hinsichtlich der Nutzungsbedingungen. An die angegebene E-Mail-Adresse schickt Let's Encrypt Erinnerungen zum rechtzeitigen Erneuern der Zertifikate sowie Warnungen, falls Zertifikate einmal vorzeitig zurückgerufen werden müssen. Bei der Eingabe der Domain- und Sub-Domain-Namen ist zu beachten, dass diese durch ein Komma voneinander zu trennen sind. Ein zusätzliches Leerzeichen ist erlaubt, aber nicht erforderlich. Ein Beispiel:
   beispiel.com, www.beispiel.com, sub.beispiel.com, beispiel.de, www.beispiel.de, sub.beispiel.de, beispiel.net, www.beispiel.net, sub.beispiel.net, beispiel.org, www.beispiel.org, sub.beispiel.org
6. Als Antwort erhält man bei der HTTP-Methode für jede Domain und Sub-Domain einen Dateinamen nebst Inhalt. Hieraus sind Textdateien zu erstellen, welche man in einen vorgegebenen Pfad (/.well-known/acme-challenge) auf den Webserver lädt, um seine Kontrolle über die jeweilige Domain zu belegen. Wenn man alle Textdateien hochgeladen hat, veranlasst man deren Prüfung.
7. Verläuft die Prüfung erfolgreich, werden vier Dateien - cert.pem, chain.pem, fullchain.pem und privkey.pem - erstellt und in den Ordnern /etc/letsencrypt/live/ und /etc/letsencrypt/archive/ abgelegt. Im Normalfall verwendet man fullchain.pem als Zertifikat, chain.pem ist für Nginx ab Version 1.3.7 gedacht und von cert.pem sollte man die Finger lassen. Bei privkey.pem handelt es sich um den privaten Schlüssel, welchen man sicher aufbewahren und niemals herausgeben sollte. Die Dateien sind geschützt, der Zugriff ist nur mit Root-Rechten möglich.
8. Wie es weitergeht, hängt vom jeweiligen Web-Hoster ab. Dieser gibt in der Benutzeroberfläche des Web-Paketes vor, welche Zertifikate an welcher Stelle hochzuladen sind. Zudem benötigt der Web-Server den Schlüssel. Nach dem Bereitstellen der Zertifikate dauert es normalerweise nur wenige Sekunden, bis diese aktiv sind.
9. KRITISCH: Nach dem Upload dürfen keine Kopien von Zertifikaten und Schlüsseln außerhalb der geschützten Ordner /etc/letsencrypt/live/ und /etc/letsencrypt/archive/ verbleiben! Wenn der PC gehackt wird und diese Dateien in die falschen Hände geraten, können sich die Kriminellen in die verschlüsselte Verbindung zwischen Web-Server und Besucher einklinken.

Schlusswort

Ich hoffe, dass diese Anleitung dem einen oder anderen weiterhelfen wird. Und falls sich jemand erkenntlich zeigen will und sich darüber freut, dass dieses Angebot fast gänzlich ohne Werbung auskommt, freuen wir uns über jegliche Unterstützung.