SSL/TLS-Zertifikate
Neuer HU-interner ACME-Dienst für den Bezug von SSL-Zertifikaten. SSL-Zertifikat ohne ACME siehe unten.
Voraussetzungen zur Nutzung des ACME-Dienstes
Um Zertifikate zu beziehen und automatisch zu erneuern benötigen Sie die Software certbot.
Bitte installieren Sie diese mittels ihres Packetmanagers (apt, yum, dnf, pkg)
Windows Serverbetreibenden empfehlen wir die Nutzung von "simple-acme"
Account Registrierung & Zertifikatsbeantragung
Unter Linux/Unix/BSD:
Registrierung am ACME-Server:
certbot register -m admin-mail@hu-berlin.de --server https://botcert.uvf.hu-berlin.de/directory
Zertifikat beziehen:
certbot run -m admin-mail@hu-berlin.de --server https://botcert.uvf.hu-berlin.de/directory -d meinServer.hu-berlin.de -d meinAlias.hu-berlin.de
Bitte beachten:
- die Admin-Mail bekommt Benachrichtigungen, bitte unbedingt eine gültige Adresse angeben,
die gelesen wird! - -d gibt die Namen an, für die ein Zertifikat angefordert wird, diese Namen müssen im DNS
auf Ihren Server zeigen! - certbot run ruft ein Zertifikat ab und installiert es, ggf können auch Alternativen genutzt werden,
siehe Dokumentation oder FAQ
Unter Windows:
Registrierung am ACME-Server:
./wacs.exe --register --emailaddress admin-mail@hu-berlin.de --baseuri "https://botcert.uvf.hu-berlin.de/directory"
Zertifikat beziehen:
./wacs.exe --baseuri "https://botcert.uvf.hu-berlin.de/directory" --source manual --host meinServer.hu-berlin.de,meinAlias.hu-berlin.de
Bitte beachten:
- --source manual beantragt nur das Zertifikat, weitere Optionen siehe Dokumentation
-
simple-acme speichert das Zertifikat im Windows Zertifikatsspeicher
Sonderfall manuelle Freischaltung
Registrieren Sie sich am ACME Server s.o.
Lesen Sie nun Ihre Account-ID aus, oder notieren Sie die admin-mail, so Sie nur einen
Account verwenden.
Account auslesen unter Linux:
cat /etc/letsencrypt/accounts/botcert.uvf.hu-berlin.de/directory/*/regr.json
Der urn:uuid: Teil ist der entsprechende Account.
Account auslesen unter Windows (pwsh):
cat C:\ProgramData\simple-acme\botcert.uvf.hu-berlin.de*\Registration_v2
Der urn:uuid: Teil ist der entsprechende Account.
Wenden Sie sich nun mit ihrem Account an hostmaster @ hu-berlin.de unter Nennung
der gewünschten Domain.
Account Details anzeigen
Wenn Sie ihre Account-ID haben (s.o.):
curl https://botcert.uvf.hu-berlin.de/account/urn:uuid:ihre-account-id-hier
Dort sehen Sie auch die hinterlegte Admin-Mail-Adresse.
ACME-FAQ
Ich habe keinen Webserver
Certbot kann einen eingebauten Webserver nutzen, zB:
(sudo) certbot certonly --standalone --server https:// botcert.uvf.hu-berlin.de/directory --no-eff-email -m admin-mail@hu-berlin.de -d meinServer.hu-berlin.de
Ich habe einen konfigurierten Webserver und möchte diesen nutzen
Nutzen Sie die Option webroot und Achten sie darauf, dass Ihr Webserver
versteckte Ordner ausliefert!.
Sollte /.well-known von Ihrem Webserver besonders behandelt werden, stellen Sie sicher das Dateien unter: /.well-known/acmechallenge
von Ihrem Server ausgeliefert werden. Beispiel:
(sudo) certbot certonly https://botcert.uvf.hu-berlin.de/ directory --no-eff-email -m admin-mail@hu-berlin.de --webroot -w /var/www/meinServer -d meinServer.hu-berlin.de
Mein Server steht im Verwaltungsnetz
Bitte eine direkte Verbindung zum acme-Server bei noc@ beantragen und _nicht_
den Weg über den Webproxy gehen.
Ich erhalte Timeouts: (read timeout=45)
Folgender Fehler zeigt sich:
An unexpected error occurred:
requests.exceptions.ReadTimeout: HTTPSConnectionPool(host='botcert.uvf.hu-berlin.de', port=443): Read timed out. (read timeout=45)
Entweder versuchen Sie es (später) erneut oder erhöhen den Timout von letsencrypt:
Je nach Installationsort unter:
/usr/lib/python3/dist-packages/acme/client.py
=> DEFAULT_NETWORK_TIMEOUT = 45
SSL-Zertifikat ohne ACME (nicht empfohlen)
Nutzen Sie möglichst den oben beschrieben ACME-Dienst um automatisiert SSL-Zertifikate für ihre Webserver zu beziehen. Die Gültigkeitszeiträume für SSL-Zertifikate werden absehbar immer kürzer.
So sehen die bereits jetzt geplanten Laufzeit von Serverzertifikaten aus:
Ab März 2026: 200 Tage
Ab März 2027: 100 Tage
Ab März 2029: 47 Tage
Wenn es Ihnen nicht möglich ist auf das automatisierte ACME-Verfahren umzustellen, können Sie weiterhin ein händisches Verfahren nutzen. Hier kann es aber zu zeitlichen Verzögerungen kommen. Reichen Sie dazu wie in der Anleitung beschrieben einen CSR (Certificate Signing Request) bei unserer neuen CA (HARICA) ein.
Anleitung zum einreichen eines selbsterstellten CSR
Hinweise zu selbsterstellten CSR's
CSR mit altem privaten Schlüssel
Wenn Sie ein Serverzertifikat mit einem selbsterstellten CSR beantragen wollen, dann müssen Sie sicherstellen, dass der zugehörige private Schlüssel neu ist und nicht bereits verwendet wurde, d.h., dem HARICA System bereits bekannt ist. Aus Sicherheitsaspekten erlaubt das HARICA System die Wiederverwendung eines privaten Schlüssels nicht. Damit soll sichergestellt werden, dass nicht zwei unterschiedliche HARICA-Accounts den gleichen privaten Schlüssel verwendet haben und somit das jeweils andere Zertifikat kompromittiert ist.
CSR Eingabefeld mit zusätzlichen Leerzeichen oder Leerzeilen
Wenn Sie bei der Beantragung eines Serverzertifikates einen eigenen CSR per Copy&Paste in den Antrag aufnehmen, müssen Sie darauf achten, dass keine zusätzlichen Leerzeichen oder Leerzeilen etc mit in das Eingabefeld für den CSR kopiert oder eingetragen werden. Diese können zur Ablehnung von Anträgen mittels diverser Fehlermeldungen oder später zu hängenden Anträgen führen.
Allgemeines/Aktuelles
Google wird durchsetzen, dass Serverzertifikate aus der WebPKI ab Mitte 2026 nur noch den Verwendungszweck "serverAuth" enthalten. Damit kann dann mit üblichen Serverzertifikaten keine Client-Authentifizierung mehr durchgeführt werden.
Bei Fragen wenden Sie sich Kontakt.