SSL Zertifikate von Let’s Encrypt erhalten

09. Feb. 2018 // Moritz Kanzler //

SSL Zertifikate sind für heutige seriöse Webseiten und Services unverzichtbar. Spätestens seit den Maßnahmen von Google, Seiten die über https höher zu ranken, steckt hinter der Nutzung von SSL zertifizierten Angeboten auch ein wirtschaftliches Interesse. Dennoch sollte für alle klar im Vordergrund stehen: Die Benutzung eines Services sollte immer nur die Teilnehmer etwas angehen, welche auch tatsächlich in dem Prozess involviert sind, nicht aber Dritte. Deshalb sollte eine verschlüsselte Kommunikation letztlich im Interesse jedes Internetnutzers liegen.

Um einen Service mit SSL Verschlüsselung zu betreiben bzw. den Aufruf über https zu ermöglichen, muss zunächst ein SSL Zertifikat erstellt werden. Grundsätzlich gibt es dafür verschiedene Vorgehensweisen. Dieser Artikel beschreibt die Generierung eines SSL Zertifikates von Let’s Encrypt über den Service von ZeroSSL.

Was ist Let’s Encrypt?

Let’s Encrypt ist eine Zertifizierungsstelle, welche seit 2015 kostenlose SSL Zertifikate zur verschlüsselten Übertragung von Webservices anbietet. Es wird von der ISRG angeboten und unter anderem von Mozilla, Google und Cisco unterstützt. Ziel von Let’s Encrypt ist es, den Zertifizierungsprozess möglichst einfach zu gestalten und somit eine flächendeckende Ausbreitung von verschlüsselten Datenübertragungen im Internet zu begünstigen.

Let’s Encrypt SSL Zertifikat über ZeroSSL anfordern

Um ein SSL Zertifikat von Let’s Encrypt zu erhalten, können verschiedene Services zur Anforderung eines solchen Zertifikats benutzt werden. In diesem Artikel wird die Vorgehensweise zum Erhalt eines signierten Zertifikats über den Dienst ZeroSSL Schritt für Schritt vorgestellt.

Schritt1: ZeroSSL Anforderungsmaske

Nach dem Aufruf von https://zerossl.com zeigt sich zunächst eine Übersichtsseite.

Nach einem Klick auf Certificates and Tools erscheint eine Auswahl darüber welches SSL Zertifikat generiert werden soll.

Nun hat man die Auswahl ein kostenfreies SSL Zertifikat über Let’s Encrypt zu generieren, oder ein selbst signiertes Zertifikat zu erstellen. Da das Ziel der Erhalt eines Let’s Encrypt SSL Zertifikates ist, wird hier der Start Button der Option „Free SSL Certificate Wizard“ genutzt und der Einrichtungsassistent gestartet. Nun folgt die Einrichtungsmaske für das SSL Zertifikat.

Der Zertifikatsassistent bietet verschiedene Optionen:

  • Wird eine Ersteinrichtung eines Zertifikats vorgenommen, so sind nur die Felder Email und Domains entscheidend.
  • Besitzt man schon ein vorhandenes Let’s Encrypt Zertifikat oder eine CSR Datei, so kann man diese auch in die beiden unteren Felder einfügen um weitere Schritte mit dem Assistenten zu gehen. Das ist aber nicht Bestandteil dieses Tutorials.

Email-Feld: Das Feld Email ist optional zu vergeben, allerdings macht die Angabe einer Emailadresse Sinn, falls es Probleme mit dem ZeroSSL Service gibt und Rücksprachen stattfinden müssen.

Domains-Feld: Je nachdem ob nur die TLD oder auch spezifische Subdomains in die Zertifizierung aufgenommen werden sollen, werden hier die entsprechende TLD und/oder die Subdomains leerzeichengetrennt in das Domains-Feld eingetragen.

Ein Klick auf den Weiter Button rechts oben führt zum nächsten Schritt.

Schritt 2: Download des CSR

Nun wird der CSR generiert, welche die angegebenen Domaininformation enthält. Dieser sollte für weitere Verwendungen abgespeichert werden. Dazu bietet sich der Download Button rechts oberhalb des Feldes an.

Danach wird der nächste Schritt wieder über den Weiter Button rechts oben eingeleitet.

Schritt 3: Download des Account-Keys

Als nächstes wird im linken Feld ein Account-Key generiert. Dieser dient um über den ZeroSSL Service auch nachträglich erneut das Zertifikat herunterladen zu können. Dieser Schlüsse sollte ebenfalls abgespeichert werden.

Über den Weiter Button geht es in den nächsten Schritt.

Schritt 4: Verifikation der angegebenen Domains

Um Sicherzustellen, dass die zu zertifizierenden Domains auch im eigenen Besitz sind, werden nun für jede angegebene (Sub-)Domain einzelne Verifikationskeys aufgelistet. Diese müssen zunächst alle heruntergeladen und gespeichert werden. Der Anweisung folgend muss dann Key A für Domain A in das Rootverzeichnis von Domain A unter .well-known/acme-challenge/ gelegt werden.

Nach einem weiteren Klick auf die Weiter Schaltfläche werden dann die ausgegebenen Schlüssel untern den jeweiligen Domains geprüft. Sind die entsprechenden Schlüssel unter den angegebenen Domains abrufbar, ist das für ZeroSSL die Bestätigung über den Besitz und das SSL Zertifikat wird ausgegeben.

Schritt 5: Ausgabe des Zertifikats

Wurden alle Domains aus dem vorherigen Schritt validiert, wird ein Domain Zertifikat, also das SSL Zertifikat ausgegeben. Dazu kommt noch der entsprechende Private Key. Beide müssen ebenfalls aus den Textfeldern kopiert bzw. heruntergeladen werden.

Damit ist der Zertifizierungsprozess abgeschlossen und die Nutzung des SSL Zertifikats in Verbindung mit dem Private Key ab sofort möglich.

Fazit

Die Erstellung eines SSL Zertifikats von Let’s Encrypt über ZeroSSL ist denkbar einfach. Deshalb spricht auch nichts mehr gegen den Einsatz von SSL bei den eigenen Webservices, um nicht nur das Google Ranking positiv zu beeinflussen, sondern vor allem den eigenen Nutzern des angebotenen Dienstes eine vertrauenswürdige und verschlüsselte Kommunikation mit den eigenen Diensten zu ermöglichen. Denn Niemand außer einem Angreifer oder Dritten hat etwas von einer unverschlüsselten Verbindung.

Kommentare

3.Apr.2018
17:27 Uhr

Schöne Beschreibung des ganzen Vorganges und ich habe es auch so versucht. Leider scheint mir ein Fehler unterlaufen zu sein. Die Bestätigung bei ZeroSSL hat funktioniert. Jedoch sagt HostEurope das Zertifikat ist nicht gültig. ich habe die die Key und csr Datei auf die Domain hochgeladen und dann 2 Dateien von ZeroSSL erhalten und diese zu HostEurope wie beschrieben hochgeladen. Es kam immer eine Fehlermeldung Schade das es nicht funktioniert hat. Frage ? Kann man einfach einen weiteren Versuch mit neuer Datei machen?
Vielen Dank für Deine Hilfe und Antwort,
Beste Grüße aus Calau

Jörg Rothhardt

4.Apr.2018
13:57 Uhr

Hallo Jörg,
bei der Ausgabe der verschiedenen Dateien von Let’s Encrypt entsteht leicht Verwirrung, das ging mir genauso! Grundsätzlich kannst du über die Account ID und den Account Key (account-key.txt) jederzeit bei Let’s Encrypt alle Zertifikatsschlüssel erneut herunterladen.

Bei HostEurope benötigst du nicht die CSR Datei, sondern die CRT Datei aus Schritt 5 (SSL Zertifikate von Let’s Encrypt erhalten).

Die CRT Datei (domain-crt.txt) und der private Schlüssel für die CRT Datei (domain-key.txt) müssen dann über die Maske von HostEurope übermittelt werden. Danach sollte alles wie beschrieben funktionieren!

Ich hoffe damit kann ich dir weiterhelfen.

25.Mai.2018
09:52 Uhr

Wo finde ich denn die „domain-key.txt“-Datei? Die kann ich doch bei ZeroSSL nicht herunter laden, oder??

25.Mai.2018
18:04 Uhr

Hallo Christian,
Nach dem deine ZeroSSL Anmeldung über die acme-challenge verifiziert wurde und du in den letzten Schritt der Zertifikatserstellung, kannst du neben dem Zertifikat (domain-crt.txt) auch einen Private Key. Das ist die gesuchte domain-key.txt. Das sind die einzigen beiden Dateien die du zum Einbinden eines Zertifikats bei deinem Webhoster brauchst.

Stefan
4.Aug.2018
19:11 Uhr

Hi,
mir ist was peiinliches passiert. Gestern sind meine Zertifikate abgelaufen.
Nun wollte ich mir neue Zertifikate erstellen, bekomme aber sowohl bei Verwendung der gespeicherten CSR- und RSA-Datei als auch nach einer Neugenerierung die Fehlermeldung „Konnte Ressourcenverzeichnis nicht abrufen“.
Was mache ich falsch?

4.Okt.2018
20:20 Uhr

Hallo Stefan,
diese Fehlermeldung habe ich selbst tatsächlich noch nicht gehabt. Bist du dir sicher, das du die richtigen Zertifikatsdateien im Prozess in die richtigen Felder der Maske gesetzt hast? Du brauchst deine Emailadresse, die account-key.txt und die domain-csr.txt, ohne dabei oben die Domains anzugeben. Falls du trotzdem nicht weiterkommst wende dich doch sonst mal per Twitter an die Administratoren von ZeroSSL.

11.Okt.2018
21:36 Uhr

@Stefan: Das Problem mit dem „Ressourcenverzeichnis“ hatte ich auch manchmal (aber nicht immer) wenn ich zerossl mit Firefox besucht habe.
Habe jetzt festgestellt dass die Fehlermeldung nicht auftritt wenn ich Chrome nutzte (weitere Browser habe ich nicht getestet)
Eine Rückmeldung würde mich interessieren 😉
.

Einen Kommentar schreiben