Seit Februar 2018 bietet die Zertifizierungsstelle Let's Encrypt die lang ersehnte Möglichkeit an, Wildcard Zertifikate zu erstellen.
Vorab: In der Ankündigung von Let's Encrypt empfehlen die Entwickler für die meisten Anwendungsfälle weiterhin Nicht-Wildcard-Zertifikate.
Wir als Webagentur profitieren von dieser Option, weil wir viele Seiten unterhalb unserer Entwicklungsdomain *.dev.sixhop.net erstellen und diese passwortgeschützt unseren Kunden zur Verfügung stellen. Damit diese Passwörter nirgendwo im Klartext übertragen werden, sind auch alle Entwicklungsumgebungen bei uns verschlüsselt.
So wird ein Let's Encrypt Wildcard Zertifikat erstellt
Als Linux Maschine nutze ich einen unserer CentOS 7 Server. Aus dem EPEL Repository des Fedora Projects war es einfach möglich den certbot zu installieren.
yum install -y epel-release yum install -y certbot
Anschließend war es möglich mit diesem Kommando die ACMEv2 Challenge, die für die Erstellung des Wildcard Zertifikats notwendig ist, zu starten.
certbot certonly --server https://acme-v02.api.letsencrypt.org/directory --manual --preferred-challenges=dns --agree-tos --manual-public-ip-logging-ok --manual -d *.srv.sixhop.net
Die Abfragen bei der Erstbenutzung des Certbot zur Erstellung eines Accounts sind in meiner Ausgabe nicht mehr enthalten, weil ich bereits einen Let's Encrypt Account hatte. Falls Sie noch keinen Account haben, werden Sie nach Ihrer E-Mail Adresse gefragt und danach, ob diese Informationen veröffentlicht werden dürfen.
Um ein Wildcard Zertifikat erstellen zu dürfen, muss der Veröffentlichung der IP Adresse des Servers zugestimmt werden.
Nachdem der entsprechende TXT Record für Ihre Domain erstellt wurde, können Sie diesen TXT Record testweise abfragen und anschließend mit der Verifizierung fortfahren.
# host -t TXT _acme-challenge.srv.sixhop.net _acme-challenge.srv.sixhop.net descriptive text "Sim8KNSxifaC-z3a10URQtcRvFLXYs9faWCvOmQmuaI"
Wurde der Code richtig ins DNS System eingetragen, wird die DNS-01 Challenge erfolgreich abgeschlossen und Ihr Wildcard Zertifikat von Let's Encrypt wird ausgestellt.
Hier auch noch einmal die Überprüfung des Zertifikats, das für uns ausgestellt wurde:
# openssl x509 -in /etc/letsencrypt/live/srv.sixhop.net/cert.pem -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
03:b9:94:71:11:59:47:3a:c1:eb:2b:25:22:8b:d8:52:ec:b5
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
Validity
Not Before: Feb 26 14:19:24 2018 GMT
Not After : May 26 14:19:24 2018 GMT
Subject: CN=*.srv.sixhop.net
...
Dieses Zertifikat kann jetzt einmal im Webserver hinterlegt werden und danach für alle Domains genutzt werden, die auf dev.sixhop.net enden.
Wie der Renew des Zertifikats läuft, erfahren Sie im zweiten Teil dieses Artikels:
Let´s Encrypt Wildcard Teil 2: Renew.
Holen Sie sich einen starken Partner an Ihre Seite: ziehen Sie jetzt mit Ihrer Homepage zu sixhop.net um!
Machen sie sich unsere langjährige Erfahrung zunutze, um Ihre Onlineprojekte erfolgreich zu machen!
Der Wechsel zu uns ist super einfach, denn wir betreuen Sie persönlich beim Umzug Ihrer Webseite, Ihrer Datenbanken und E-Mail Konten.
Interessanter Artikel und gut beschrieben. Das Einzige das mir fehlt ist, wie man die Zertifikate dann verlängert.
Mittels certbot renew funktioniert es ja nicht, da das manuelle Verfahren hier nicht unterstützt wird…
Wie setzen Sie es in der Praxis um?
Gruß
S. Bauer
Hallo Herr Bauer,
ich habe es gerade mal runter geschrieben wie wir den Update unseres Wildcardzertifikats automatisiert haben. Hier finden Sie die Anleitung: https://www.sixhop.net/blog/lets-encrypt-wildcard-teil-2-renew/. Es würde mich freuen, wenn das für Sie auch funktioniert.
Viele Grüße
Andreas Nitsche