Automatische Beantragung und Verwaltung von Let's Encrypt SSL-Zertifikaten in ServBay

Für die moderne Webentwicklung ist eine lokale Umgebung, die der Produktionsumgebung so nahe wie möglich kommt, unverzichtbar—dazu gehört auch die Nutzung von HTTPS. ServBay unterstützt das ACME-Protokoll (Automated Certificate Management Environment) und ermöglicht es Ihnen damit, kostenlose SSL/TLS-Zertifikate von Zertifizierungsstellen wie Let's Encrypt automatisch zu beantragen, zu installieren und zu verwalten. In dieser Anleitung erklären wir Schritt für Schritt, wie Sie innerhalb von ServBay ein Let's Encrypt-Zertifikat beantragen und es für Ihre lokale Entwicklungs-Website einsetzen.

Die Vorteile von Let's Encrypt-Zertifikaten bestehen unter anderem in: kostenloser Nutzung, Automatisierung, breiter Vertrauenswürdigkeit und der Möglichkeit, lokal HTTPS-Verhalten, Service Worker, HSTS und ähnliche Funktionen realistisch zu testen.

Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie ein Let's Encrypt-Zertifikat beantragen:

1. Eigene öffentliche Domain: Sie benötigen eine registrierte und erreichbare Domain (z.B. servbay.demo oder yourdomain.com). Let's Encrypt stellt keine Zertifikate für lokale IP-Adressen oder private Domains wie .local aus.
2. DNS-Management-Fähigkeiten: ServBay nutzt eine DNS-API, um den Besitz der Domain zu verifizieren. Das bedeutet, Sie benötigen Zugang zum Control Panel Ihres Domain-Registrars oder Ihres DNS-Providers (wie Cloudflare, GoDaddy, AWS Route 53 usw.) und müssen API-Schlüssel für die Automatisierung generieren können.
3. DNS-API-Schlüssel: Generieren Sie einen API-Schlüssel oder Token entsprechend den Vorgaben Ihres DNS-Providers. Wie das im Einzelnen funktioniert, hängt vom Anbieter ab. In der Regel benötigen Sie einen API-Schlüssel mit Rechten zur Verwaltung der DNS-Einträge. Hilfreiche Hinweise finden Sie im DNS API WIKI von acme.sh, wo Sie Ihren Provider heraussuchen und die Namen und Variablen für die Schlüssel nachlesen.

Beantragungsschritte

Folgende Schritte führen Sie zur Beantragung eines SSL-Zertifikats über Let's Encrypt in ServBay:

1. Öffnen Sie das ServBay-Adminpanel: Starten Sie die ServBay-App, klicken Sie auf das Symbol in der Menüleiste und wählen Sie "Manager Panel", um die Web-Verwaltungsoberfläche zu öffnen.

2. Navigieren Sie zur Zertifikatsverwaltung: Klicken Sie in der Seitenleiste des ServBay-Adminpanels auf den Menüpunkt SSL-Zertifikate (SSL Certificates).

3. Neues Zertifikat beantragen: Klicken Sie oben rechts in der Zertifikatsliste auf den runden “+”-Button. Ein Fenster zur Konfiguration des Antrags öffnet sich.

4. Zertifikatsdaten ausfüllen: Geben Sie im Popup „Request Certificate“ (Zertifikat beantragen) folgende Informationen ein:

   • Common Name (Allgemeiner Name): Vergeben Sie einen beschreibenden Namen, um das Zertifikat später eindeutig identifizieren zu können, z.B. servbay-demo-cert oder mydomain-wildcard-cert.
   • Usage Purpose (Verwendungszweck): Wählen Sie TLS/SSL.
   • Request Method (Antragsmethode): Wählen Sie ACME.
   • Issuer (Aussteller): Wählen Sie Let's Encrypt.
   • DNS API Provider (DNS-API-Anbieter): Wählen Sie Ihren DNS-Anbieter aus der Dropdown-Liste (etwa: cloudflare für Cloudflare, godaddy für GoDaddy usw.).
   • Algorithm (Algorithmus): Es wird empfohlen, den ECC-Algorithmus (Elliptic Curve Cryptography) mit einer Schlüssellänge von 384 zu wählen. ECC-Zertifikate sind kleiner und bieten meist bessere Performance und Sicherheit als klassische RSA-Zertifikate.
   • E-Mail Address (E-Mail-Adresse): Geben Sie eine gültige E-Mail-Adresse an. Let's Encrypt versendet wichtige Benachrichtigungen (z.B. Ablauf, Erneuerungsprobleme) dorthin.
   • DNS API Tokens (DNS-API-Token): Geben Sie die erforderlichen API-Informationen Ihres DNS-Providers als Umgebungsvariablen an. Details finden Sie in der Provider-Dokumentation oder im DNS API WIKI von acme.sh. Wichtiger Hinweis: Bitte kein export vor die Variablen schreiben. Beispiel für Cloudflare: CF_Key=sdfsdfsdffgfdg\[email protected] (mit \n als Trenner der Variablen).
   • Domain (Domain): Tragen Sie die zu sichernde(n) Domain(s) ein. Für mehrere Domains oder Wildcard-Domains (z.B. *.servbay.demo) trennen Sie Einträge mit Kommas (z.B. servbay.demo, www.servbay.demo, *.servbay.demo). Für Wildcard-Zertifikate ist die Verifizierung über die DNS-API zwingend erforderlich.

   Bitte beachten Sie, dass im Screenshot der Common Name als Test gesetzt ist; im Echtbetrieb empfehlen wir einen beschreibenden Namen.

5. Antrag absenden: Überprüfen Sie alle Angaben noch einmal und klicken Sie auf „Request“ (Beantragen), um die Zertifikatsanforderung zu starten.

6. Auf Abschluss warten: ServBay startet im Hintergrund den ACME-Client, nutzt Ihre DNS-API-Infos zur Domänenvalidierung und beantragt das Zertifikat bei Let's Encrypt. Je nach DNS-Übertragung und Serverreaktion kann dies einen Moment dauern. Ist der Prozess abgeschlossen, erscheint das neue Zertifikat in Ihrer ServBay-Zertifikatsliste.

Einsatz des Zertifikats

Nach erfolgreicher Beantragung kann das Zertifikat Ihrer lokalen Website zugewiesen werden:

1. Zu den Website-Einstellungen: Klicken Sie in der Seitenleiste auf Websites.
2. Website-Konfiguration bearbeiten: Suchen Sie die Website, für die Sie das Zertifikat einsetzen wollen, und klicken Sie auf das Bearbeiten-Symbol (i.d.R. ein Stiftsymbol) rechts daneben.
3. HTTPS/SSL konfigurieren: Finden Sie innerhalb der Einstellungen die Optionen für SSL/HTTPS. Dort können Sie üblicherweise die Quelle des Zertifikats wählen.
4. ACME-Zertifikat auswählen: Wählen Sie als Quelle ACME und aus dem angezeigten Dropdown das neue Zertifikat (identifiziert durch den von Ihnen vergebenen Common Name).
5. Einstellungen speichern: Speichern Sie die Änderungen. ServBay lädt die Konfiguration neu und das SSL-Zertifikat wird für Ihre Website aktiv. Sie können Ihre lokale Website jetzt per HTTPS aufrufen.

Der Screenshot zeigt die Auswahl eines ACME-Zertifikats innerhalb der Website-Konfiguration.

Verlängerung von Zertifikaten

Let's Encrypt-Zertifikate sind 90 Tage lang gültig. ServBay bietet eine automatische Verlängerung: Innerhalb von 30 Tagen vor Ablauf wird die Verlängerung mit denselben Einstellungen automatisch angestoßen. Sie müssen nichts unternehmen, solange Ihre DNS-API-Tokens gültig bleiben. Bei Problemen während der Verlängerung informiert Sie Let's Encrypt per E-Mail an die hinterlegte Adresse.

ACME-Protokoll und DNS-API-Validierung

• ACME-Protokoll: Das ACME-Protokoll ist ein offener Standard zur Automatisierung der Domainsverifizierung und der Zertifikatsausstellung. Let's Encrypt kommuniziert mit Clientsoftware wie dem in ServBay integrierten ACME-Client zur automatisierten Zertifikatsverwaltung.
• DNS-API-Validierung: Hierbei wird über die DNS-API ein spezieller TXT-Record im DNS Ihrer Domain gesetzt. Die Zertifizierungsstelle prüft diesen Record, um Ihre Kontrolle über die Domain zu bestätigen. Die Verifizierung via DNS-API ist insbesondere sinnvoll bei:
  • Beantragung von Wildcard-Zertifikaten (z.B. *.servbay.demo)
  • Lokalen ServBay-Instanzen ohne direkten Zugriff aus dem Internet (etwa in internen Netzwerken oder bei durch den Provider blockierten Ports 80/443).

Algorithmuswahl: ECC vs. RSA

ServBay unterstützt bei der Zertifikatsbeantragung die Wahl zwischen ECC- und RSA-Algorithmen.

• RSA: Der klassische Public-Key-Verschlüsselungsalgorithmus mit maximaler Kompatibilität—nahezu alle Browser und Clients unterstützen RSA-Zertifikate (2048 oder 4096 Bit üblich).
• ECC: Elliptische-Kurven-Kryptographie. Gleichwertige Sicherheit bei kürzeren Schlüsseln (z.B. ECC 256-Bit ≈ RSA 3072-Bit), was zu schnelleren TLS-Handshakes und geringerer CPU-Last auf Server- und Client-Seite führt. Moderne Systeme und Browser unterstützen ECC.

Empfehlung: Für neue Zertifikate wird ECC mit 384 Bit Schlüssellänge empfohlen, da Sie optimale Sicherheit und Performance erhalten. Für maximale Rückwärtskompatibilität (z.B. mit sehr alten Clients) kann RSA gewählt werden.

Zu beachten

• DNS-Propagation: Die Aktualisierung von DNS-TXT-Records kann weltweit unterschiedlich lange dauern (meist Minuten, selten Stunden). Bei sofortigem Fehler bitte kurze Zeit später erneut probieren.
• API-Schlüssel-Sicherheit: Ihr DNS-API-Token hat weitreichende Rechte über die DNS-Zone Ihrer Domain—bitte sicher und vertraulich behandeln!
• Let's Encrypt Rate Limits: Die Zertifikatsausstellung ist limitiert. Bei häufiger Beantragung/Verlängerung für dieselbe Domain treten Rate Limits in Kraft. Mit der ServBay-Automatik bewegen Sie sich in aller Regel im sicheren Bereich.

Häufig gestellte Fragen (FAQ)

• F: Mein Domainname zeigt auf eine lokale IP. Kann ich dennoch ein Let's Encrypt-Zertifikat erhalten?
  • A: Ja, sofern Sie die DNS-API-Validierung nutzen. Entscheidend ist die Kontrolle über die DNS-Einträge, nicht die Zieladresse im Internet.
• F: Die Zertifikatsbeantragung schlägt fehl. Was tun?
  • A: Prüfen Sie DNS-API-Token und Zugriffsrechte, stellen Sie sicher, dass der richtige DNS-Anbieter gewählt ist und dass die DNS-Records ggf. bereits propagiert wurden. In den ServBay-Logs finden Sie ggf. weitere Fehlermeldungen.
• F: Wie lange vor Ablauf verlängert ServBay automatisch?
  • A: Üblicherweise erfolgt dies innerhalb der letzten 30 Tage vor Ablauf automatisch.
• F: Kann ich Zertifikate für .local-Domains im Entwicklungsumfeld beantragen?
  • A: Nein. Let's Encrypt stellt ausschließlich Zertifikate für öffentlich erreichbare Domains aus. Für .local oder lokale IPs können Sie mit der Funktion "ServBay User CA" oder "ServBay Public CA" ein selbstsigniertes oder simuliertes Zertifikat erzeugen und nutzen.
• F: Mein DNS-Anbieter ist nicht in der ServBay-Liste. Was tun?
  • A: Der integrierte ACME-Client von ServBay unterstützt die meisten gängigen Provider. Kleinere Anbieter müssen ggf. manuell konfiguriert werden. Prüfen Sie im DNS API WIKI von acme.sh, ob Ihr Provider dort gelistet ist. Falls nicht, kontaktieren Sie bitte den ServBay-Support.

Fazit

Durch die Integration des ACME-Protokolls macht ServBay den Prozess der Beantragung und Verwaltung von Let's Encrypt SSL-Zertifikaten in lokalen Entwicklungsumgebungen so einfach wie nie. Dank DNS-API-Verifizierung können Sie für alle Ihre öffentlichen Domains (auch Wildcards) kostenlose und automatisch verlängerbare Zertifikate bekommen—ideal, um Ihre lokale Umgebung bestmöglich an das Produktionssystem anzugleichen und realitätsnahe Tests durchzuführen. Befolgen Sie die Anleitung oben, und Sie sorgen im Handumdrehen für verschlüsselte Verbindungen auf Ihren ServBay-Websites.