Let's Encrypt Wildcard Zertifikat erstellen
In diesem Artikel wird erklärt, wie man ein kostenloses Let’s-Encrypt-Wildcard-Zertifikat erstellt.
Ich empfehle hier ein Zertifikat zu verwenden, das länger als 3 Monate gültig ist, wie z. B. Let’s-Encrypt-Zertifikate. Bei Central kann der Import derzeit noch nicht automatisiert werden. Oftmals möchte man aber die ZTNA Lösung zunächst in der 30-tägigen Testphase ausprobieren. Hier bietet sich Let’s Encrypt an, wenn man nicht bereits im Besitz eines Wildcard-Zertifikats ist.
Let’s Encrypt Certbot-Tool installieren
Bevor du kostenlose Wildcard-Zertifikate erstellen kannst, musst du Certbot installieren. Ich verwende hier einen Ubuntu-Server. Um Certbot zu installieren, führe die folgenden Befehle aus:
sudo apt update
sudo apt-get install letsencrypt
Let’s Encrypt Wildcard SSL-Zertifikat generieren
Nach der Installation von Certbot kann man nun mit der Erstellung von Zertifikaten loslegen.
Für Wildcard-Zertifikate benötigt Let’s Encrypt die Verifizierung via DNS. So wird sichergestellt, dass du auch wirklich berechtigt bist, für diese Domain ein Zertifikat zu erstellen.
Um also ein Wildcard-Zertifikat für die Domäne *.avanet.com zu erstellen, führen wir die folgenden Befehle aus:
sudo certbot certonly --manual --preferred-challenges=dns --email webmaster@avanet.com --server https://acme-v02.api.letsencrypt.org/directory --agree-tos -d avanet.com -d *.avanet.com
| Option | Beschreibung |
|---|---|
| certonly | Zertifikat beantragen oder erneuern ohne dieses zu installieren |
| –manual | Bezug von Zertifikaten |
| –preferred-challenges=dns | DNS zur Authentifizierung als Domänenbesitzer verwenden |
| –server | Server, der für die Generierung der Zertifikate verwendet werden soll |
| –agree-tos | Einverständnis mit den Bedingungen des ACME-Servers |
| -d | Domain, für die ein Zertifikat erstellt werden soll |
Nach dem Ausführen des obigen Befehls ist noch die Überprüfung des Besitzes der Domain erforderlich. Zu diesem Zweck ist die Erstellung eines TXT-Eintrags auf den DNS-Servern erforderlich.
Nach der Verifizierung werden die Zertifikate generiert und können unter folgendem Pfad heruntergeladen werden:
/etc/letsencrypt/live/avanet.com/
Wir benötigen später die Dateien cert.pem und privkey.pem. Letztere muss man noch von privkey.pem auf privkey.key umbenennen.