12.5. Let’s Encrypt

Die Let’s Encrypt-Einstellungen finden Sie unter Allgemein → Zertifikate → Let’s Encrypt.

Let's Encrypt

Let’s Encrypt ist eine gemeinnützige Zertifizierungsstelle, die kostenlose Zertifikate für Domainbesitzer bereitstellt.

12.5.1. Erstellen von Let’s Encrypt Account

Zuerst müssen Sie einen neuen Let’s Encrypt Kontoeintrag erstellen. Das Konto wird zum Erstellen von Zertifikaten verwendet, und die Zertifikate werden unter diesem Konto registriert. Ein Konto ist kostenlos und wird nur verwendet, um Ihre Zertifikate mit Let’s Encrypt zu organisieren. Beachten Sie, dass Sie das Konto benötigen, um ein ausgestelltes Zertifikat widerrufen zu können.

Name, damit Sie es identifizieren können.

ACME Server kann entweder Staging (ACME v2) zu Testzwecken oder Production (ACME v2) sein.

Privater Schlüssel wird automatisch generiert, wenn keiner angegeben wird.

Eine E-Mail-Adresse zur Kontaktaufnahme.

Auto Firewall Rule erstellt eine temporäre Firewallregel, um die Signatur des Zertifikats zu ermöglichen. Andernfalls muss Port 80 manuell auf der aktuellen WAN-Schnittstelle geöffnet werden.

12.5.2. DNS Acme Handle

Wenn Sie die DNS-Authentifizierung anstelle der Web-Authentifizierung verwenden möchten, können Sie hier ein DNS-Acme-Handle erstellen. Das Handle erzeugt einen DNS-Eintrag, der von VT AIR dynamisch gesetzt und als CNAME-Eintrag für die eigentliche zu überprüfende Domain verwendet werden kann.

Der DNS-Handle sieht zum Beispiel so aus:

177c0dc6-4d2e-486b-932e-db248b2dd123.auth.acme-dns.io

und kann so der eigentlichen Domain hinzugefügt werden:

_acme-challenge.your-domain CNAME 177c0dc6-4d2e-486b-932e-db248b2dd123.auth.acme-dns.io.

VT AIR kann das Acme-Handle bei Zertifikatsignierungsanforderungen nicht aktualisieren.

12.5.3. Signieren von Let’s Encrypt Certificate

Um ein Zertifikat zu signieren, müssen Sie eine CSR erstellen und diese speichern. Wenn Sie sie bearbeiten, können Sie ein vorhandenes Let’s Encrypt-Konto sowie die Authentifizierungsmethode auswählen. Sie können zwischen Web-Authentifizierung, DNS-Authentifizierung und Benutzerdefiniertes Skript wählen.

Bei der Webauthentifizierung sucht der Let’s Encrypt Server nach einer Datei, die vom Webserver der Domäne bereitgestellt wird. VT AIR kümmert sich um diesen Teil, solange der DNS-Eintrag der Domäne auf VT AIR verweist.

Warnung

Für die Webauthentifizierung muss die Webschnittstelle von VT AIR auf Port 80/443 auf allen Interfaces aktivirt werden. Wenn dies nicht der Fall ist, verwenden Sie bitte die DNS-Authentifizierung.

Bei der DNS-Authentifizierung sucht der Let’s Encrypt Server nach einem DNS-Eintrag in der Domäne DNS-Eintrag. Sie müssen ein Acme-Handle wählen und einen CNAME-Eintrag für die Validierung auf der betreffenden Domäne erstellen. VT AIR kümmert sich um die Authentifizierung des Zertifikats.

Unter Benutzerdefiniertes Skript gibt es ein Textfeld, in dem Sie Ihr eigenes Skript speichern können.

Auf der CSR Übersichtsseite erscheint auf der rechten Seite ein Unterschreiben -Button, unter dem Sie das Zertifikat unterzeichnen können. Das neue Zertifikat wir dann erstellt und kann auf der Zertifikat Übersichtsseite gefunden werden.

Damit der Signaturprozess funktioniert, muss Port 80 auf WAN geöffnet sein. Der DNS-Eintrag für den Zertifikateintrag muss auch auf VT AIR verweisen, damit er während der Signatur erreichbar ist. Der Server Let’s Encrypt Server kontaktiert den VT AIR, um die Gültigkeit des DNS-Eintrags zu überprüfen.

12.5.4. Erneuern von Let’s Encrypt Certificate

Wenn ein signiertes Let’s Encrypt-Zertifikat abläuft, können Sie es erneuern. Wenn das Zertifikat nur 30 Tage oder weniger gültig ist, befindet sich auf der rechten Seite der Übersichtsseite Zertifikat für jedes signierte Zertifikat eine Aktionsschaltfläche Erneuern.

Auch einmal pro Woche erneuert ein Cron-Job automatisch alle Let’s Encrypt-Zertifikate, die bald ablaufen.

12.5.5. Let’s Encrypt Certificate widerrufen

Auf der Übersichtsseite Zertifikat finden Sie eine Revoke-Aktionsschaltfläche für jedes signierte Zertifikat. Revoke widerruft das Zertifikat mit letsencrypt. Anschließend können Sie ein neues Zertifikat für diese Domain signieren.