Wie Sie ein Domain-SSL-Zertifikat beantragen und verwenden

In der modernen Webentwicklung gewinnt die Aktivierung von HTTPS (durch SSL/TLS-Zertifikate geschützt) für Ihre Websites zunehmend an Bedeutung – selbst in lokalen Entwicklungsumgebungen. ServBay bietet eine komfortable Möglichkeit, SSL-Zertifikate zu verwalten und anzuwenden, sodass Sie Ihre Produktionsumgebung realitätsnah simulieren, Sicherheits-Features testen und einen reibungslosen lokalen Entwicklungsprozess gewährleisten können.

Dieses Dokument zeigt Ihnen Schritt für Schritt, wie Sie bei ServBay SSL/TLS-Zertifikate beantragen, zuweisen und verwalten.

Einführung in Domain-SSL/TLS-Zertifikate

Ein SSL/TLS-Zertifikat ist ein digitales Zertifikat, das zur Authentifizierung eines Servers und zur Verschlüsselung der Datenübertragung zwischen Client (z.B. Browser) und Server dient. Nach der Installation eines SSL-Zertifikats ändert sich Ihre Website-Adresse von http:// zu https:// und es erscheint ein Sicherheitsschloss-Symbol in der Adressleiste, das eine verschlüsselte und geschützte Verbindung signalisiert.

Warum sollten Sie auch in der lokalen Entwicklung HTTPS nutzen?

• Simulation der Produktionsumgebung: Viele Produktionsumgebungen setzen zwingend HTTPS voraus. Mit HTTPS in der lokalen Umgebung simulieren Sie realistisch, reduzieren Überraschungen beim Deployment und sorgen für einen nahtlosen Übergang.
• Testen von Sicherheitsfunktionen: Moderne Browserfunktionen (wie Service Worker, Web Authentication, Geolocation API usw.) setzen einen sicheren Kontext (HTTPS) voraus. Mithilfe von lokalem HTTPS können Sie diese Features problemlos testen.
• Vermeidung von Mixed-Content-Warnungen: Lädt Ihre Website per HTTPS Ressourcen von HTTP-Quellen (Bilder, Skripte, CSS), zeigt der Browser eine Warnung zu gemischten Inhalten an. Mit lokalem HTTPS lassen sich diese Probleme frühzeitig erkennen und beheben.
• HTTP/2 und QUIC: Moderne Protokolle wie HTTP/2 oder QUIC erfordern in der Regel eine HTTPS-Verbindung.

Beantragung von SSL-Zertifikaten über ServBay

ServBay unterstützt zwei Hauptmethoden, um SSL-Zertifikate zu beantragen: die Ausstellung lokal vertrauenswürdiger Zertifikate durch die integrierte ServBay-CA (Certificate Authority) sowie die Beantragung öffentlich anerkannter Zertifikate via ACME-Protokoll (z.B. Let's Encrypt).

Voraussetzungen

• ServBay ist installiert und läuft.
• Sie haben bereits eine Website in ServBay angelegt und konfiguriert, für die ein SSL-Zertifikat benötigt wird.
• Wenn Sie ein öffentliches Zertifikat via ACME beantragen möchten, ist die Verifizierung per DNS erforderlich.

Schritt: Aufrufen des SSL-Zertifikats-Management-Panels

Klicken Sie in der Seitenleiste der ServBay-App auf "SSL Certificates", um in die Zertifikatsverwaltung zu gelangen.

Methode 1: Lokales vertrauenswürdiges Zertifikat mit ServBay CA ausstellen

ServBay CA ist die hauseigene Zertifizierungsstelle von ServBay. Zertifikate, die von der ServBay CA ausgestellt werden, sind nur auf Geräten gültig, die dieser CA vertrauen – ideal für die lokale Entwicklung, da Sie Ihr Entwicklungsgerät problemlos für ServBay CA konfigurieren können.

1. Klicken Sie auf Hinzufügen: Auf der Seite "SSL Certificates" rechts oben auf das "+"-Symbol klicken.
2. Zertifikatsinformationen ausfüllen: Im Dialog "Request Certificate":
   • Common Name (Allgemeiner Name): Vergeben Sie einen beschreibenden Namen für das Zertifikat, z. B. ServBay Demo Website Cert.
   • Usage Purpose (Verwendungszweck): Wählen Sie hier in der Regel TLS/SSL.
   • Request Method (Antragsmethode): Wählen Sie ServBay CA.
   • Issuer (Aussteller): Wählen Sie ServBay User CA. ServBay stellt eine nutzerspezifische CA zur lokalen Zertifikatsausstellung bereit.
   • Algorithm (Algorithmus): Wählen Sie einen modernen, effizienten Algorithmus wie ECC. Für maximale Kompatibilität (z. B. Alt-Systeme) können Sie RSA auswählen.
   • Key Length (Schlüssellänge): Bei ECC wird 384 empfohlen; für RSA 2048 oder 4096. Längere Schlüssel bieten mehr Sicherheit, beanspruchen aber mehr Ressourcen.
   • Domain (Domainname): [WICHTIG] Geben Sie hier die zu schützenden Domains (durch Kommas getrennt) an. Diese werden als Subject Alternative Names (SANs) in das Zertifikat aufgenommen. Für lokale Entwicklung sind Domains wie .servbay.demo (z.B. servbay.demo, myproject.servbay.demo) oder andere, die in Ihrer lokalen hosts-Datei oder in ServBay konfiguriert wurden, geeignet. Wildcard-Domains wie *.servbay.demo sind unterstützt.
3. Klicken Sie auf "Request": Kontrollieren Sie Ihre Angaben und bestätigen Sie mit dem Button "Request".

ServBay stellt Ihnen umgehend ein Zertifikat aus und fügt dieses der Liste hinzu.

(Beispiel-UI für die Zertifikatsbeantragung über die ServBay CA)

Wie vertraue ich der ServBay User CA?

Damit Browser und andere Anwendungen den von ServBay CA ausgestellten Zertifikaten vertrauen, muss die ServBay User CA Root auf Ihrem System installiert und als vertrauenswürdig eingestuft werden. Dies geschieht in der Regel automatisch während der Installation. Alternativ finden Sie entsprechende Optionen unter den ServBay-Einstellungen. Nach Installation und Vertrauensstellung werden Warnmeldungen bezüglich "nicht vertrauenswürdig" auf Ihrem Gerät für .servbay.demo und vergleichbare Domains nicht mehr angezeigt.

Methode 2: Öffentlich vertrauenswürdiges Zertifikat über ACME (Let's Encrypt) beantragen

ACME (Automated Certificate Management Environment) ist ein automatisiertes Protokoll zur Beantragung und Verwaltung kostenloser öffentlich vertrauenswürdiger SSL-Zertifikate, häufig genutzt für Let's Encrypt. Zertifikate, die auf diesem Weg ausgestellt werden, sind standardmäßig in allen gängigen Browsern und Geräten anerkannt.

1. Klicken Sie auf Hinzufügen: Auf der Seite "SSL Certificates" rechts oben auf das "+"-Symbol klicken.
2. Zertifikatsinformationen ausfüllen: Im Dialog "Request Certificate":
   • Common Name (Allgemeiner Name): Vergeben Sie einen beschreibenden Namen.
   • Usage Purpose (Verwendungszweck): Wählen Sie TLS/SSL.
   • Request Method (Antragsmethode): Wählen Sie ACME.
   • Issuer (Aussteller): Wählen Sie Let's Encrypt, ZeroSSL oder Google Trust Services (über ServBay erfolgt die Kommunikation mit einer der öffentlichen CAs).
   • Algorithm (Algorithmus): Empfehlenswert ist ECC.
   • Key Length (Schlüssellänge): Wählen Sie die gewünschte Länge.
   • Domain (Domainname): [WICHTIG] Geben Sie die Domains für das öffentliche Zertifikat an (mehrere Domains kommasepariert, Wildcards wie *.example.com möglich – beachten Sie, dass Wildcard-Zertifikate in der Regel DNS-Validierung benötigen). Sie müssen die Kontrolle über die Domains besitzen.
   • Email (E-Mail): Eine gültige E-Mail-Adresse ist erforderlich (Pflichtfeld im ACME-Protokoll, z.B. für Ablaufbenachrichtigungen).
   • DNS Provider (DNS-Anbieter): Wählen Sie jenen DNS-Anbieter aus, über den die Domains verwaltet werden, um mittels automatischem DNS-Record-Nachweis die Domaininhaberschaft zu bestätigen und SSL-Zertifikate zu beziehen.
3. Klicken Sie auf "Request": Prüfen Sie alle Angaben und klicken Sie unten auf "Request".

ServBay startet jetzt den ACME-Prozess, validiert die Domain-Inhaberschaft mit der ausgewählten CA und beantragt das Zertifikat. Je nach Art der Verifizierung und Netzwerk kann dies einen Moment dauern. Nach Erfolg erscheint das Zertifikat in der Übersicht.

Automatische Verlängerung von ACME-Zertifikaten:

Zertifikate von ACME haben meist eine kurze Gültigkeit (z. B. 90 Tage bei Let's Encrypt). ServBay übernimmt automatisch die rechtzeitige Verlängerung – Sie müssen nichts weiter tun.

Zuweisung und Verwendung von Zertifikaten

Nach erfolgreicher Beantragung eines SSL-Zertifikats müssen Sie dieses einer Website in ServBay zuweisen, um HTTPS zu aktivieren.

1. Webseitenverwaltung öffnen: Klicken Sie in der ServBay-Seitenleiste auf "Websites".
2. Ziel-Website bearbeiten: Wählen Sie die Website, für die das Zertifikat genutzt werden soll.
3. SSL konfigurieren: Im Website-Konfigurationsbereich den relevanten Abschnitt für SSL/HTTPS finden.
4. HTTPS aktivieren und Zertifikat wählen: HTTPS aktivieren (Option setzen) und im Zertifikatsdropdown das gewünschte Zertifikat auswählen (bei ACME werden Common Name und Domain angezeigt).
5. Einstellungen speichern: Änderungen sichern.

Im Anschluss lädt ServBay die Konfiguration Ihrer Webserver (Caddy, Apache oder Nginx) neu, sodass das neue SSL-Zertifikat aktiv wird. Die Website ist jetzt unter https://Ihre-Domain erreichbar.

Zertifikatsverwaltung

Im Bereich "SSL Certificates" können Sie alle bereits ausgestellten Zertifikate verwalten.

Zertifikatsverlängerung

• ServBay CA-Zertifikate: Diese sind in der Regel für 800 Tage gültig. Vor Ablauf können Sie in der Liste das betreffende Zertifikat über das "Verlängern"-Icon (meist ein Kreis- oder Aktualisieren-Symbol) manuell erneuern – die Gültigkeit verlängert sich um jeweils weitere 800 Tage ab dem aktuellen Datum.
• ACME-Zertifikate: Diese werden von ServBay automatisch vor Ablauf erneuert. Hier ist kein manuelles Eingreifen notwendig.

Zertifikatsexport

Sie können ausgestellte SSL-Zertifikate exportieren, z.B. um sie auf anderen Geräten zu nutzen (vorausgesetzt, das Zielgerät vertraut ebenfalls der ServBay CA).

1. SSL-Zertifikatsverwaltung öffnen.
2. Zertifikat zum Export auswählen.
3. Export-Button klicken: Rechts neben dem Zertifikat auf das Export-Icon (meist ein Rechts-Pfeil ➡️) klicken.
4. Speicherort wählen: Wählen Sie im Dialog den Speicherort der exportierten Zertifikatsdateien.
5. Zertifikat verteilen: Die exportierte Datei ist typischerweise eine ZIP-Datei, enthalten sind das Zertifikat (.crt oder .cer), der private Schlüssel (.key) und CA-Chain-Dateien. Sie können diese nach Bedarf verteilen und installieren.

Zertifikatslöschung

Sollte ein Zertifikat nicht mehr benötigt werden, kann es gelöscht werden.

1. SSL-Zertifikatsverwaltung öffnen.
2. Zu löschendes Zertifikat finden.
3. Lösch-Button klicken: Rechts neben dem Zertifikat auf das Lösch-Icon (meist Papierkorb) klicken.
4. Löschen bestätigen: Den Vorgang im Bestätigungsdialog endgültig bestätigen. Achtung: Das Löschen ist irreversibel. Wird das Zertifikat von einer Website genutzt, müssen Sie dieser zuvor ein anderes Zertifikat zuweisen oder HTTPS deaktivieren – ansonsten ist die entsprechende Website nicht mehr erreichbar.

Häufig gestellte Fragen (FAQ)

F: Warum meldet mein Browser "nicht vertrauenswürdig", obwohl ich ein ServBay CA-Zertifikat nutze?

A: ServBay CA-Zertifikate sind standardmäßig nicht in Betriebssystem oder Browsern vertraut. Sie müssen die ServBay User CA Root auf Ihrem Entwicklungsgerät installieren und als vertrauenswürdig hinterlegen. Weitere Details und Anleitungen finden Sie in den ServBay-Einstellungen oder der Dokumentation.

F: Die Beantragung eines ACME-Zertifikats (Let's Encrypt) schlägt fehl. Was tun?

A: Häufige Ursache ist eine fehlerhafte Domainvalidierung.

• Verwenden Sie dns-01-Verifizierung: Prüfen Sie, ob der hinterlegte TXT-Record beim Domain-Registrar bzw. DNS-Anbieter korrekt und bereits global propagiert wurde (es kann Zeit dauern, bis der DNS-Record wirksam wird). Konsultieren Sie die ServBay-Protokolle für detaillierte Fehlermeldungen.

F: Kann ich bei ServBay ein Zertifikat für mehrere Domains gleichzeitig beantragen?

A: Ja! Im Feld "Domain" können Sie mehrere Domains, getrennt durch Kommata, angeben. Es wird dann ein SANs-Zertifikat erstellt, das alle diese Domains abdeckt.

F: Welche Webserver werden von ServBay unterstützt? Können Zertifikate serverübergreifend genutzt werden?

A: ServBay unterstützt Caddy, Apache und Nginx. Das SSL-Zertifikatsmanagement ist vereinheitlicht, d. h. die ausgestellten Zertifikate können auf jeder von ServBay verwalteten, SSL-fähigen Website genutzt werden. ServBay übernimmt automatisch die Konfiguration im jeweiligen Webserver.

Fazit

ServBay bietet eine leistungsstarke, benutzerfreundliche Verwaltung von SSL-Zertifikaten in lokalen Entwicklungsumgebungen. Mit ServBay CA können Sie unkompliziert vertrauenswürdige Zertifikate für Entwicklungsdomains ausstellen und so HTTPS-Entwicklung und -Tests erleichtern. Dank integrierter ACME-Unterstützung lassen sich zudem öffentlich anerkannte Zertifikate von Let's Encrypt, ZeroSSL oder Google Trust Services direkt in ServBay beantragen und verwalten. Das Beherrschen dieser Funktionen hilft Ihnen, sichere und den aktuellen Standards entsprechende Webanwendungen zu erstellen.

Bei Problemen oder Fragen rund um Beantragung oder Nutzung von Zertifikaten empfiehlt sich ein Blick in die offizielle ServBay-Dokumentation oder die Community.