Let’s Encrypt (https://www.letsencrypt.org) ist eine Zertifizierungsstelle, welche domain-validierte Zertifikate kostenlos und automatisiert ausstellt. Diese Zertifikate werden von allen gängigen Browsern ohne Fehlermeldung akzeptiert. Mit dem ACME-Protokoll (Automated Certificate Management Environment) wird die Domainprüfung, Ausstellung und Verlängerung von SSL-Zertifikaten vollautomatisch durchgeführt.
Um Zertifikate bei Let’s Encrypt zu beantragen, benötigen Sie einen Account. Mit diesem Account können Sie beliebig viele Zertifikate beantragen, und sie können diesen auch auf mehreren Servern nutzen. Klicken Sie hierzu in https://admin.onesystems.ch auf „Hosting“, „SSL-Zertifikate“ und dort auf den Tab „Zertifikatsverwaltung“. Mit dem Button „Zugang hinzufügen“ legen Sie einen neuen Account an:
Geben Sie Ihre E-Mail-Adresse und optional eine Telefonnummer an (beides kann jederzeit geändert werden). Alternativ können Sie auch den RSA-Schlüssel eines bestehenden Accounts importieren.
Nach dem Anlegen des neuen Zugangs müssen Sie noch den Geschäftsbedingungen von Let’s Encrypt zustimmen. Setzen Sie das entsprechende Häkchen und speichern den Account erneut ab.
Danach können Sie im Tab „SSL-Zertifikate“ beim Anlegen eines Zertifikats den Tab „ACME“ auswählen:
Wählen Sie hierzu den zu nutzenden ACME-Account aus und geben den Domainnamen an, für den Sie ein SSL-Zertifikat beantragen möchten. Wenn Sie etwa für die Domains example.ch und www.example.ch ein SSL-Zertifikat wünschen, dann reicht es wenn Sie den Domainnamen ohne www. angeben und die Checkbox „auch ‚www.‘-Subdomain berücksichtigen“ aktivieren – das Zertifikat wird dann für beide Domainvarianten ausgestellt.
Wir erzeugt anschließend automatisch alle notwendigen Zertifikatsdaten (privater Schlüssel, CSR, Zertifikat, Zwischenzertifikate). Der komplette Vorgang (von der Prüfung bis zur erfolgreichen Zertifikatsausstellung) dauert ca. 3-4 Minuten. Den aktuellen Status von mit ACME verwalteten SSL-Zertifikaten können Sie unter „Verwaltung“, „Berichte“, „ACME SSL-Zertifikate“ einsehen.
Alle (Sub-)Domains, für die Sie ein SSL-Zertifikat bei Let's Encrypt beantragen möchten, müssen einem von
LiveConfig verwalteten Webspace zugeordnet sein (die Prüfung der Domain findet über einen HTTP-Aufruf statt)!
Sie können also keine Zertifikate für Domains beantragen, die nur z.B. nur für E-Mail genutzt werden oder auf
einem anderen Server (bzw. mit einer „fremden“ IP-Adresse) konfiguriert sind.
SSL-Zertifikate mit einer erweiterten Inhaberprüfung – sogenannte Extended Validation (EV)-Zertifikate (mit grüner Adresszeile und Name des Inhabers in der Browser-Adresszeile) können nicht über Let’s Encrypt erstellt werden.