Humboldt-Universität zu Berlin - Computer- und Medienservice

SSL/TLS-Zertifikate

Neuer HU-interner ACME-Dienst für den Bezug von SSL-Zertifikaten. SSL-Zertifikat ohne ACME siehe unten.

Voraussetzungen zur Nutzung des ACME-Dienstes

Um Zertifikate zu beziehen und automatisch zu erneuern benötigen Sie die Software certbot.

Bitte installieren Sie diese mittels ihres Packetmanagers (apt, yum, dnf, pkg)

Windows Serverbetreibenden empfehlen wir die Nutzung von "simple-acme"

 

Account Registrierung & Zertifikatsbeantragung

Unter Linux/Unix/BSD:

Registrierung am ACME-Server:

certbot register -m admin-mail@hu-berlin.de --server https://botcert.uvf.hu-berlin.de/directory

 

Zertifikat beziehen:

certbot run -m admin-mail@hu-berlin.de --server https://botcert.uvf.hu-berlin.de/directory -d meinServer.hu-berlin.de -d meinAlias.hu-berlin.de

 

Bitte beachten:

  • die Admin-Mail bekommt Benachrichtigungen, bitte unbedingt eine gültige Adresse angeben,
    die gelesen wird!
  • -d gibt die Namen an, für die ein Zertifikat angefordert wird, diese Namen müssen im DNS
    auf Ihren Server zeigen!
  • certbot run ruft ein Zertifikat ab und installiert es, ggf können auch Alternativen genutzt werden,
    siehe Dokumentation oder FAQ

Unter Windows:

Registrierung am ACME-Server:

./wacs.exe --register --emailaddress admin-mail@hu-berlin.de --baseuri "https://botcert.uvf.hu-berlin.de/directory"

 

Zertifikat beziehen:

./wacs.exe --baseuri "https://botcert.uvf.hu-berlin.de/directory" --source manual --host meinServer.hu-berlin.de,meinAlias.hu-berlin.de

 

Bitte beachten:

  • --source manual beantragt nur das Zertifikat, weitere Optionen siehe Dokumentation
  • simple-acme speichert das Zertifikat im Windows Zertifikatsspeicher

 

Sonderfall manuelle Freischaltung

Registrieren Sie sich am ACME Server s.o.

Lesen Sie nun Ihre Account-ID aus, oder notieren Sie die admin-mail, so Sie nur einen
Account verwenden.

Account auslesen unter Linux:

cat /etc/letsencrypt/accounts/botcert.uvf.hu-berlin.de/directory/*/regr.json

Der urn:uuid: Teil ist der entsprechende Account.

Account auslesen unter Windows (pwsh):

cat C:\ProgramData\simple-acme\botcert.uvf.hu-berlin.de*\Registration_v2

Der urn:uuid: Teil ist der entsprechende Account.

 

Wenden Sie sich nun mit ihrem Account an hostmaster @ hu-berlin.de unter Nennung
der gewünschten Domain.

Account Details anzeigen

Wenn Sie ihre Account-ID haben (s.o.):

curl https://botcert.uvf.hu-berlin.de/account/urn:uuid:ihre-account-id-hier

Dort sehen Sie auch die hinterlegte Admin-Mail-Adresse.

 

ACME-FAQ

Ich habe keinen Webserver

Certbot kann einen eingebauten Webserver nutzen, zB:
(sudo) certbot certonly --standalone --server https:// botcert.uvf.hu-berlin.de/directory --no-eff-email -m admin-mail@hu-berlin.de -d meinServer.hu-berlin.de 

 

Ich habe einen konfigurierten Webserver und möchte diesen nutzen

Nutzen Sie die Option webroot und Achten sie darauf, dass Ihr Webserver
versteckte Ordner ausliefert!.

Sollte /.well-known von Ihrem Webserver besonders behandelt werden, stellen Sie sicher das Dateien unter: /.well-known/acmechallenge
von Ihrem Server ausgeliefert werden. Beispiel:

(sudo) certbot certonly https://botcert.uvf.hu-berlin.de/ directory --no-eff-email -m admin-mail@hu-berlin.de  --webroot -w /var/www/meinServer -d meinServer.hu-berlin.de 

 

Mein Server steht im Verwaltungsnetz

Bitte eine direkte Verbindung zum acme-Server bei noc@ beantragen und _nicht_
den Weg über den Webproxy gehen.

Ich erhalte Timeouts: (read timeout=45)

Folgender Fehler zeigt sich:
An unexpected error occurred: 
requests.exceptions.ReadTimeout: HTTPSConnectionPool(host='botcert.uvf.hu-berlin.de', port=443): Read timed out. (read timeout=45)
Entweder versuchen Sie es (später) erneut oder erhöhen den Timout von letsencrypt:
Je nach Installationsort unter:
/usr/lib/python3/dist-packages/acme/client.py
=> DEFAULT_NETWORK_TIMEOUT = 45

 

SSL-Zertifikat ohne ACME (nicht empfohlen)

 

Nutzen Sie möglichst den oben beschrieben ACME-Dienst um automatisiert SSL-Zertifikate für ihre Webserver zu beziehen. Die Gültigkeitszeiträume für SSL-Zertifikate werden absehbar immer kürzer.

So sehen die bereits jetzt geplanten Laufzeit von Serverzertifikaten aus:
Ab März 2026:   200 Tage
Ab März 2027:   100 Tage
Ab März 2029:    47 Tage 

Wenn es Ihnen nicht möglich ist auf das automatisierte ACME-Verfahren umzustellen, können Sie weiterhin ein händisches Verfahren nutzen. Hier kann es aber zu zeitlichen Verzögerungen kommen. Reichen Sie dazu wie in der Anleitung beschrieben einen CSR (Certificate Signing Request) bei unserer neuen CA (HARICA) ein.

Anleitung zum einreichen eines selbsterstellten CSR

 
Hinweise zu selbsterstellten CSR's
CSR mit altem privaten Schlüssel

Wenn Sie ein Serverzertifikat mit einem selbsterstellten CSR beantragen wollen, dann müssen Sie sicherstellen, dass der zugehörige private Schlüssel neu ist und nicht bereits verwendet wurde, d.h., dem HARICA System bereits bekannt ist. Aus Sicherheitsaspekten erlaubt das HARICA System die Wiederverwendung eines privaten Schlüssels nicht. Damit soll sichergestellt werden, dass nicht zwei unterschiedliche HARICA-Accounts den gleichen privaten Schlüssel verwendet haben und somit das jeweils andere Zertifikat kompromittiert ist.

CSR Eingabefeld mit zusätzlichen Leerzeichen oder Leerzeilen

Wenn Sie bei der Beantragung eines Serverzertifikates einen eigenen CSR per Copy&Paste in den Antrag aufnehmen, müssen Sie darauf achten, dass keine zusätzlichen Leerzeichen oder Leerzeilen etc mit in das Eingabefeld für den CSR kopiert oder eingetragen werden. Diese können zur Ablehnung von Anträgen mittels diverser Fehlermeldungen oder später zu hängenden Anträgen führen.

Allgemeines/Aktuelles

Google wird durchsetzen, dass Serverzertifikate aus der WebPKI ab Mitte 2026 nur noch den Verwendungszweck "serverAuth" enthalten. Damit kann dann mit üblichen Serverzertifikaten keine Client-Authentifizierung mehr durchgeführt werden. 

 

Bei Fragen wenden Sie sich Kontakt.