websitewerker.de

07.09.2020 | Apache, Linux, OpenSource
Alternative zu ZeroSSL – Let’s Encrypt Zertifikat manuell erstellen

ZeroSSL bietet seit circa Juni 2020 nicht mehr die Möglichkeit, unbegrenzt SSL Zertifikate auszustellen. Der Dienst an sich hat sich absoluter Beliebtheit erfreut und auf einfachem Wege SSL Zertifikate bereitgestellt. Um etwa Zertifikate nun für Hoster wie Hosteurope zu erstellen, kann man sofern man eine Linux Umgebung zur Verfügung hat, selbige manuell via CertBot erstellen und installieren. Benötigt werden eine Zertifikats- und eine Schlüsseldatei.

Ich gehe davon aus, dass Certbot in aktueller Version installiert ist.

Zunächst wird mit folgendem Kommando der Abruf gestartet:

root@ubuntu:~ # certbot certonly -a manual --rsa-key-size 4096 -d meinewebsite.de

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for meinewebsite.de

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o:

Diese erste Abfrage kann mit „Y“ bestätigt werden. Im folgenden Schritt muss die Inhaberschaft der Seite via HTTP Abfrage bestätigt werden. Dazu wird eine Datei im Verzeichnis .well-known/acme-challenge erstellt.
Create a file containing just this data:

NFVKjRMDgVskqF85GWq3GwYqTLgme5Pt1jdSusP4Uc0.Qa_0_gzr4QWNQ7jM5_t-ZSu1nohb1kZLT0dzky3SG6o

And make it available on your web server at this URL:

http://meinewebsite.de/.well-known/acme-challenge/NFVKjRMDgVskqF85GWq3GwYqTLgme5Pt1jdSusP4Uc0

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

Wurde alles korrekt hinterlegt können jetzt das Zertifikat „cert.pem“ und die Schlüsseldatei „privkey.pem“ zum hinterlegen beim Webhoster genutzt werden. Erstellt werden insg. vier Dateien:

  1. cert.pem
  2. chain.pem
  3. fullchain.pem
  4. privkey.pem

Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/meinewebsite.de/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/meinewebsite.de/privkey.pem
   Your cert will expire on 2020-12-06. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Mehr ist an dieser Stelle nicht zu tun und du hast ein neues und kostenloses SSL Zertifikat für die kommenden drei Monate.

Weitere Informationen gibt es hier:

geschrieben von Jens (3 Kommentare), , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

3 Kommentare "Alternative zu ZeroSSL – Let’s Encrypt Zertifikat manuell erstellen"

Ralf sagt:

Ich hatte ebenfalls das Problem mit den drei kostenlosen Zertifikaten bei ZeroSSL. Deine Anleitung funktioniert gut mit einer Live-Installation von Ubuntu auf Windows, aber leider legt certbot die Dateien in einen Ordner, für den man root-Rechte benötigt. Beim Ändern der Rechte für den Ordner via chmod-Befehl werden dann die Dateien kompromittiert.

Gibt es dafür auch einen Work-around? Das vorherige Ändern der Rechte hilft leider auch nicht…

Jens sagt:

Root Rechte werden generell für die Erstellung usw. benötigt. Das einfachste ist, die Zertifikatsdateien aus dem Verzeichnis „/etc/letsencrypt/live/www.DeineDomain.de/“ direkt in das Home Verzeichnis des Benutzers zu kopieren.

Bsp.:
sudo cp -v /etc/letsencrypt/live/www.DeineDomain.de/*.pem /home/DeinBenutzer/

Im Anschluss müssen dann die Berechtigungen der Dateien selbst geändert werden. Ausgehenden von dem Verzeichnis wo die Dateien liegen:

sudo chown DeinBenutzer.DeinBenutzer *.pem
sudo chmod 0664 *.pem

Bei Hostern wie Hosteurope benötigst Du dann nur die Datei fullchain.pm und privkey.pem zur Installation.

Hintergrund: Häufig kommt es zu Fehlern beim Upload der Zertifikatsdateien, wenn Sie direkt aus dem Ordner „/etc/letsencrypt/live/www.DeineDomain.de/“ hochgeladen werden. Das hängt nur mit den lokalen Berechtigungen zusammen. Die Dateien selbst sind in Ordnung und nutzbar.

R. C. sagt:

Danke für diese Information. Ich hatte auch das Problem, das ich nur dreimal ein kostenloses SSL-Zertifikat bei ZeroSSL machen konnte und dann musste ich entweder bezahlen oder eine andere Lösung finden. Ich wusste das man Certbot benutzen konnte aber ich wusste nicht wie . Deine Erklärung hat mir sehr geholfen! Es ist eigentlich sehr einfach.

Ich habe einen Windows-Computer, also ich habe Ubuntu über das Microsoft Store installiert – dies ist ein ganz einfacher Weg, ein Linux Terminal zu benutzen.

Natürlich habe ich immer noch das Problem, dass das Zertifikat jede 3 Monate manuell erneut werden muss, aber vielleicht irgendwann wechsle ich zu einem neuen Host, der kostenlose Let’s Encrypt Zertifikate anbietet.

Du kannst diese Seite via PayPal unterstützen: paypal.me/jensbh