So beantragen Sie ein SSL-Zertifikat von Google Trust Services

ServBay ist nicht nur eine leistungsstarke lokale Web-Entwicklungsumgebung, sondern verfügt auch über eine integrierte Unterstützung für das ACME-Protokoll. Damit können Sie ganz einfach vertrauenswürdige SSL-Zertifikate für lokale oder entfernte Domains beantragen und verwalten. Mit einem vertrauenswürdigen SSL-Zertifikat (wie von Google Trust Services ausgestellt) können Sie in Ihrer lokalen Entwicklungs- oder Testumgebung HTTPS-Verbindungen genau wie in der Produktion simulieren. Dies ist entscheidend zum Debuggen von Mixed-Content-Warnungen, zum Testen von Security-Headern und um sicherzustellen, dass Ihre Anwendung unter HTTPS einwandfrei funktioniert.

In diesem Leitfaden erfahren Sie Schritt für Schritt, wie Sie mit ServBay über den öffentlichen CA-Dienst von Google Trust Services (GTS) mittels ACME-Protokoll ein SSL-Zertifikat für Ihre Website beantragen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie bitte sicher, dass Sie folgende Punkte erfüllt haben:

1. Domain-Besitz und DNS-Kontrolle: Sie benötigen eine gültige Domain, über deren DNS-Einstellungen Sie vollständige Kontrolle haben. Dies ist die Grundlage für die Domain-Validierung mittels DNS-API.
2. DNS API-Schlüssel beschaffen: ServBay automatisiert die Verifizierung der Domain-Inhaberschaft über die DNS-API. Sie müssen die entsprechenden API-Zugangsdaten Ihres Domain-Registrars oder DNS-Dienstanbieters besorgen. Die Vorgehensweise und Benennung der Parameter kann je nach Anbieter variieren. Informationen zu Ihrem Anbieter und den notwendigen Schlüsseln finden Sie im acme.sh DNS API Wiki.
3. Google Trust Services EAB-Schlüssel einholen: Der ACME-Dienst von Google Trust Services verlangt die Nutzung von External Account Binding (EAB). EAB ist ein Mechanismus, mit dem Sie Ihr ACME-Clientkonto (verwaltet durch ServBay) mit Ihrem Google Cloud-Konto verknüpfen, um die Zertifikatsaustellung zu autorisieren. Sie erhalten EAB Key ID und EAB HMAC Key aus der Google Cloud Console. Die genauen Schritte finden Sie in der Google Cloud-Dokumentation EAB-Informationen von Google Cloud abrufen.

Beantragungsschritte

1. Öffnen Sie das ServBay-Kontrollpanel: Starten Sie die ServBay-App und öffnen Sie das grafische Verwaltungsinterface.

2. Navigieren Sie zur SSL-Zertifikatsverwaltung: Suchen Sie im Seitenmenü oder in der oberen Navigation des Kontrollpanels nach dem Menüpunkt SSL-Zertifikate (SSL Certificates) und betreten Sie die Zertifikatsverwaltung.

3. Starten Sie den Zertifikatsantragsprozess: Klicken Sie oben rechts in der Zertifikatsliste auf das “+”-Symbol, um ein neues SSL-Zertifikat zu beantragen.

4. Zertifikatsantrag konfigurieren: Im sich öffnenden “Request Certificate”-Fenster geben Sie folgende Informationen ein:

   • Common Name: Geben Sie einen Namen zur Identifizierung des Zertifikatantrags ein, zum Beispiel Ihren Projektnamen oder die Hauptdomain, z. B. servbay.demo Certificate.
   • Usage Purpose: Belassen Sie die Standardeinstellung auf TLS/SSL. So wird das Zertifikat zur Absicherung Ihres Webservers verwendet.
   • Request Method: Wählen Sie ACME aus – damit nutzen Sie das automatisierte Zertifikatsmanagement.
   • Issuer: Wählen Sie aus dem Dropdown Google Trust Services als Zertifikatsstelle (CA) aus.
   • DNS API Provider: Wählen Sie hier Ihren DNS-Dienst (z. B. Cloudflare, GoDaddy, AliYun etc.). Ist Ihr Anbieter nicht dabei, prüfen Sie in der Dokumentation von ServBay oder acme.sh, ob dieser unterstützt wird oder zusätzliche Konfiguration nötig ist.
   • Algorithm: Wählen Sie den Schlüsselalgorithmus des Zertifikats. Es wird empfohlen, ECC (Elliptic Curve Cryptography) zu verwenden, da diese Verschlüsselung eine höhere Sicherheit bei kürzeren Schlüsseln bietet. Wählen Sie Schlüssellänge 384.
   • EAB Key ID: Geben Sie die von Google Cloud erhaltene EAB Key ID ein.
   • EAB HMAC Key: Tragen Sie den EAB HMAC Key ein, den Sie ebenfalls aus Google Cloud bezogen haben.
   • DNS API Tokens: Geben Sie Ihren DNS-API-Schlüssel und die dazugehörigen Parameter ein. 【Wichtig】 Beachten Sie die Angaben Ihres DNS-Providers im acme.sh DNS API Wiki und tragen Sie die richtigen Namen und Werte der Umgebungsvariablen ein. Fügen Sie das Kommando export NICHT mit ein. Beispiel für Cloudflare: CF_Key=YOUR_API_KEY und CF_Email=YOUR_EMAIL, jeweils ein Parameter pro Zeile.
   • Domain: Geben Sie die Domain(s) ein, für welche Sie das Zertifikat benötigen. Für eine einzelne Domain einfach den Namen angeben (z. B. servbay.demo). Für ein Zertifikat mit mehreren Domains (SAN-Zertifikat) trennen Sie diese durch Kommas (z. B. servbay.demo, www.servbay.demo). Für ein Wildcard-Zertifikat geben Sie das Format *.yourdomain.com an (z. B. *.servbay.demo), beachten Sie aber, dass Wildcard-Zertifikate gewöhnlich die DNS-Validierung erfordern.

   

5. Antrag absenden: Überprüfen Sie alle Angaben und klicken Sie anschließend auf “Request”, um den Antrag einzureichen.

6. Antragsbearbeitung abwarten: ServBay führt im Hintergrund automatisch den ACME-Prozess aus – von der Kommunikation mit Google Trust Services über die Domainvalidierung per DNS-API bis hin zur Ausstellung des Zertifikats. Das kann je nach DNS-Propagation und Geschwindigkeit des ACME-Servers einige Zeit in Anspruch nehmen. Nach erfolgreicher Ausstellung finden Sie das neue Zertifikat in Ihrer ServBay-Zertifikatsliste.

Zertifikat auf der Website einsetzen

Nach erfolgreicher Beantragung erscheint das Zertifikat in der Zertifikatsliste von ServBay. Sie können das Zertifikat nun Ihrer Website zuweisen. Navigieren Sie in die Websites-Konfiguration, wählen Sie die gewünschte Website aus und wählen Sie im Bereich für SSL-Einstellungen als Zertifikatstyp ACME. Im zugehörigen Dropdown wählen Sie dann das soeben beantragte Zertifikat von Google Trust Services aus. Nach dem Speichern ist Ihre Website mit HTTPS über das Zertifikat abgesichert.

Automatische Zertifikatserneuerung

Die ACME-Zertifikate von Google Trust Services sind in der Regel 90 Tage gültig. Damit Ihr Zertifikat immer aktuell bleibt, verfügt ServBay über eine integrierte automatische Verlängerung. Noch vor Ablauf wird automatisch versucht, das Zertifikat rechtzeitig zu erneuern – ein manuelles Nachverfolgen ist nicht erforderlich. Sorgen Sie lediglich dafür, dass ServBay regelmäßig läuft, damit die Erneuerung ausgeführt werden kann.

FAQ & Fehlerbehebung

• Der Zertifikatsantrag schlägt wegen DNS-Verifizierungsfehler fehl:
  • Prüfen Sie, ob Sie wirklich korrekte DNS-API-Tokens und Parameter eingegeben haben – sowohl Namen als auch Werte der Umgebungsvariablen.
  • Vergewissern Sie sich, dass Ihr DNS-Provider Domainverifizierungen über API unterstützt und Sie im Feld DNS API Provider den korrekten Anbieter gewählt haben.
  • Mit Online-Tools wie dnschecker.org können Sie überprüfen, ob Ihre DNS-Einträge erfolgreich propagiert wurden. DNS-Änderungen brauchen oft etwas Zeit.
  • Überprüfen Sie Ihre Netzwerkinfrastruktur oder Firewall-Einstellungen, damit ServBay sowohl die ACME-Server als auch die DNS-API Ihres Anbieters erreichen kann.
• EAB-Fehler tritt auf:
  • Kontrollieren Sie genau, ob EAB Key ID und EAB HMAC Key aus Google Cloud exakt so in ServBay eingetragen wurden.
  • Vergewissern Sie sich, dass die EAB-Zugangsdaten in Google Cloud noch gültig sind und nicht widerrufen oder abgelaufen sind.
• Antragsprozess hängt oder dauert sehr lange:
  • Schauen Sie im ServBay-Protokollverzeichnis (meist im logs-Ordner der App) nach detaillierten Fehlermeldungen.
  • Deaktivieren Sie testweise vorübergehend Firewall oder Sicherheitssoftware, um mögliche Störungen der ACME-Kommunikation auszuschließen.
  • Prüfen Sie die Stabilität Ihrer Internetverbindung.

Zusammenfassung

Dank der in ServBay integrierten ACME-Funktion und der Unterstützung für Google Trust Services können Sie heute vertrauenswürdige SSL-Zertifikate einfacher denn je beantragen und verwalten. Dies vereinfacht nicht nur die HTTPS-Konfiguration für lokale Entwicklungsumgebungen und erhöht die Sicherheit, sondern ermöglicht auch eine realistische Produktionssimulation. Durch die Automatisierung von ServBay können Sie sich auf die Entwicklung konzentrieren und die Zertifikatsverwaltung dem Tool überlassen – für eine dauerhaft sichere und zuverlässige Verbindung Ihrer Website.