In den Startlöchern

Let's Encrypt besitzt mittlerweile den offiziellen Status einer CA. Am 12. September begann ein geschlossener Beta-Test, seit Mitte Oktober stehen die beiden Zwischenzertifikate Let's Encrypt Authority X1 und Let's Encrypt Authority X2 bereit. Da die CA IdenTrust [8] sie gegengezeichnet hat, werden Sie von allen Webbrowsern akzeptiert. Am 3. Dezember ging die bis dahin geschlossene Betaphase in einen offenen Beta-Test ohne Warteliste oder Registrierung über.

Während des geschlossenen Beta-Tests stellte Let's Encrypt bis Anfang November bereits mehr als 11 000 Zertifikate aus. Die dort erhaltenen Rückmeldungen gestatten es, jetzt an die Öffentlichkeit zu gehen. Die Software zum Ausstellen der Zertifikate und zum Legitimieren der Domain-Inhaber als Verfügungsberechtigter der Domain, für die das Zertifikat gelten soll, steht bis auf die automatische Erneuerung der Zertifikate zum Einsatz bereit. Sie beruht auf dem eigens entwickelten Automated Certificate Management Environment-Protokoll (ACME) [9]. Für das Frühjahr 2016 sieht das Projekt den Übergang in den Regelbetrieb vor.

Die Praxis

Derzeit legt das Projekt die Software für den Apache-Webserver unter Debian und dessen Derivaten aus. Ein Plugin für Nginx befindet sich noch im experimentellen Stadium, Sie sollten es deshalb nicht auf Produktivservern anwenden. Die Portierung für Microsoft Windows IIS nahm die Community bereits in Angriff. Weiterentwicklungen und Plugins von Dritten nimmt das Projekt gerne in die Client-Software auf, sofern sie den Anforderungen entsprechen. Das erhöht die Wahrscheinlichkeit, dass die Software in absehbarer Zeit auch für andere Webserver zur Verfügung steht.

Um Let's Encrypt zu verwenden, installieren Sie auf dem Server zunächst Git (Listing 1, Zeile 1). Dann wechseln Sie in das Home-Verzeichnis des Servers und laden die Software von GitHub herunter (Zeile 2). Wechseln Sie nun in das neu entstandene Verzeichnis letsencrypt/ und stoppen Sie den Webserver mit dem Kommando /etc/init.d/apache2 stop oder sudo service apache2 stop. Danach stoßen Sie das Erstellen des Zertifikats und dessen Installation an (Zeile 5). Dabei ersetzen Sie die Beispiel-Domain example.de durch jene, für die das Zertifikat gelten soll. Sie dürfen an dieser Stelle auch mehrere Domains angeben, die im gleichen Webroot liegen, wozu Sie jeder davon ein -d voranstellen.

Listing 1

$ sudo apt-get update && apt-get install git
$ git clone https://github.com/letsencrypt/letsencrypt
$ cd letsencrypt
$ [... Webserver stoppen ...]
$ sudo ./letsencrypt-auto --rsa-key-size 4096 -d example.de

Im Hintergrund überprüft die Software, ob Sie über die Domain verfügen können. Auf die Abfrage, ob Sie Apache oder einen temporären Webserver nutzen wollen (Abbildung 2), bestätigen Sie im Regelfall die Voreinstellung zu Apache. Eine weitere Abfrage klärt, ob alle Inhalte der Domain mit HTTPS ausgeliefert werden sollen. Wissen Sie nichts Gegenteiliges, bejahen Sie auch diese Abfrage. Kurz darauf ist Ihr Zertifikat installiert und zum Einsatz bereit. Eine Benachrichtigung verweist auf eine Seite zur Validierung Ihres Zertifikats. Bevor Sie dem Link folgen, starten Sie den Webserver mit /etc/init.d/apache2 start oder sudo service apache2 start.

Abbildung 2: Let's Encrypt bietet als Voreinstellung den Apache Server als Konfigurationsziel an: In der Regel übernehmen Sie diese.

TIPP

Liefern Sie Werbung von Dritten auf Ihrer Webseite aus, fragen Sie vor dem Implementieren von HTTPS besser den Werbetreibenden, ob seine Anzeige auch mit HTTPS funktioniert.

Sie können auch ein Zertifikat lediglich erstellen, ohne es zu implementieren (Listing 2, erste Zeile). Auf diesem Weg kommen auch Anwender von Nginx bereits jetzt in den Genuss der freien Zertifikate. Um das Zertifikat im Nachhinein automatisch in Apache zu implementieren, verwenden Sie den Befehl aus der zweiten Zeile von Listing 2. Auch hier ersetzen Sie die Beispiel-Domain wieder durch Ihre eigene.

Die Software erlaubt das Erstellen von bis zu zehn Subdomains der Art sub1.example.de sub2.example.de ... mit einem Befehl. Dies zählt als ein Zertifikat. Derzeit erlaubt Let's Encrypt das Erzeugen von bis zu zehn Zertifikaten für TLDs innerhalb von zwei Monaten – diese Anzahl soll sich später erhöhen. Fühlen Sie sich in Sachen Apache-Webserver nicht ganz sattelfest, empfehlen wir, einige Wochen abzuwarten, bis Let's Encrypt in den Regelbetrieb übergeht.

Listing 2

$ sudo ./letsencrypt-auto certonly --rsa-key-size 4096 -d example.de
$ sudo ./letsencrypt-auto install --apache --cert-path /etc/letsencrypt/live/example.de/cert.pem --key-path /etc/letsencrypt/live/example.de/privkey.pem --chain-path /etc/letsencrypt/live/example.de/chain.pem

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Erstes Zertifikat von Let's Encrypt online
    Let's encrypt, die neue Zertifizierungsstelle, will kostenlose Zertifikate ausstellen und den Prozess vereinfachen. Sie hat nun ihre Arbeit aufgenommen und ein erstes Zertifikat veröffentlicht.
  • Der Nächste, bitte!
    Führende Owncloud-Entwickler, darunter der Gründer Frank Karlitschek, überwarfen sich mit dem Kurs des Projekts und haben mit Nextcloud einen Fork gestartet. Der soll ein besseres Gleichgewicht zwischen Unternehmen, Kunden und Nutzern herstellen.
  • SSL-Authentifizierung mit Apache
    Das Login auf Webseiten mittels Nutzernamen und Passwort birgt Gefahren. Für mehr Sicherheit sorgt der Apache-Webserver mit einer zertifikatsbasierten Anmeldung.
  • Shell-Zugriff per Webbrowser
    Eine Shell im Browser? PHPshell und Shell in a Box machen es möglich und erleichtern damit das Verwalten von Webservern auch ohne SSH-Zugang – beispielsweise aus dem nächsten Internet-Café.
  • Vertrauensfragen
    Mit den richtigen Tools und Einstellungen wird E-Mail-Verschlüsselung zum Kinderspiel: S/MIME bildet den Rahmen für die sichere Kommunikation, Thunderbird betätigt sich als Mailclient.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Broadcom Adapter 802.11n nachinstallieren
Thomas Mengel, 31.10.2017 20:06, 2 Antworten
Hallo, kann man nachträglich auf einer Liveversion, MX Linux auf einem USB-Stick, nachträglich...
RUN fsck Manually / Stromausfall
Arno Krug, 29.10.2017 12:51, 1 Antworten
Hallo, nach Absturz des Rechners aufgrund fehlendem Stroms startet Linux nicht mehr wie gewohn...
source.list öffnet sich nicht
sebastian reimann, 27.10.2017 09:32, 2 Antworten
hallo Zusammen Ich habe das problem Das ich meine source.list nicht öffnen kann weiß vlt jemman...
Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 6 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...