Beantragung von SSL-Zertifikaten per ACME in ServBay

ServBay unterstützt die automatische Beantragung von SSL/TLS-Zertifikaten für Ihre lokale Entwicklungswebsite mithilfe des ACME-Protokolls. Das ACME-Protokoll (Automated Certificate Management Environment) ist ein Standardverfahren zur Automatisierung des gesamten Lebenszyklus von Zertifikaten (inklusive Beantragung, Verlängerung und Widerruf). Über das integrierte ACME-Verwaltungspanel von ServBay können Sie schnell und komfortabel vertrauenswürdige SSL-Zertifikate für lokale Websites konfigurieren – ein entscheidender Faktor, um Produktionsumgebungen realistisch nachzubilden und HTTPS-Funktionalitäten zu testen.

Standardmäßig setzt ServBay vorrangig auf Zertifikate von ZeroSSL, Sie können jedoch flexibel auch Let's Encrypt oder andere ACME-kompatible Zertifizierungsstellen wie Google Trust Services nutzen.

TIP

Um Ihre lokale Entwicklungsumgebung so nahe wie möglich an die Produktion zu bringen, sind vertrauenswürdige SSL-Zertifikate unerlässlich. Die ACME-Funktionalität von ServBay erleichtert diesen Prozess enorm.

Zentrale Begriffe und Konzepte

Vor dem Einstieg empfiehlt sich ein Verständnis zentraler ACME-Konzepte, um die Funktion in ServBay optimal zu nutzen:

• ACME-Protokoll: Ein offener Standard zur Automatisierung der Interaktion zwischen einer Zertifizierungsstelle (CA) und einem Server – von Beantragung bis Verwaltung und Verlängerung digitaler Zertifikate.
• DNS-01-Validierung (per DNS API): Das ACME-Protokoll ermöglicht verschiedene Methoden, um die Kontrolle über eine Domain zu prüfen. ServBay setzt primär auf die DNS-01-Methode: Dabei wird von Ihnen verlangt, einen speziellen TXT-Eintrag im DNS der Domain anzulegen. Die Zertifizierungsstelle prüft diesen Eintrag und stellt nur bei korrektem Inhalt das Zertifikat aus. Vorteile:
  • Ihr lokales System muss nicht öffentlich über das Internet erreichbar sein.
  • Die Verifizierung funktioniert selbst dann, wenn Ports 80/443 durch Firewalls oder Ihren Provider blockiert sind.
• External Account Binding (EAB): Bei einigen CAs (z.B. Google Trust Services oder ZeroSSL) ist bei der ersten Beantragung eine Zuordnung Ihres ACME-Clients (hier: ServBay mit acme.sh) zu Ihrem CA-Benutzerkonto erforderlich. Dies geschieht meist über ein Key ID/HMAC-Schlüsselpaar.
• ECC- vs. RSA-Zertifikat:
  • RSA: Klassischer weit verbreiteter Algorithmus, sehr kompatibel, aber bei moderner Sicherheit relativ lange Schlüssel (2048 oder 4096 Bit) und mehr Rechenaufwand.
  • ECC (Elliptic Curve Cryptography): Moderner Algorithmus, erreicht gleiches Sicherheitsniveau mit viel kürzeren Schlüsseln (z.B. 256 oder 384 Bit). ECC-Zertifikate bieten mehr Performance, kürzere Handshake-Zeiten, weniger Bandbreitenverbrauch und bessere Forward Secrecy. ServBay empfiehlt standardmäßig ECC.

Voraussetzungen

Für ACME-Zertifikate per DNS API muss Ihre lokale Seite nicht öffentlich erreichbar sein. Vor der Beantragung eines SSL-Zertifikats per ACME sollten folgende Bedingungen erfüllt sein:

1. Eigene Domain: Sie benötigen eine registrierte Domain, zu der Sie den DNS verwalten können.
2. API-Schlüssel Ihres DNS-Providers: Während des ACME-Prozesses werden automatisch TXT-Einträge zur Verifizierung in Ihren DNS eingetragen und wieder entfernt. Dafür sind die API-Zugangsdaten Ihres DNS-Dienstleisters (dort, wo das DNS der Domain verwaltet wird, nicht zwingend Ihr Domain-Registrar) erforderlich. Eine Liste unterstützter DNS-Anbieter und Anleitungen zum Erhalt eines API-Schlüssels finden Sie im englischsprachigen acme.sh-Wiki im Abschnitt How to use DNS API. Suchen Sie dort nach dem Tutorium passend zu Ihrem Anbieter.
3. EAB-Informationen für Google Trust Services oder erstmalige ZeroSSL-Beantragung: Wenn Sie Google Trust Services als CA wählen, müssen Sie die EAB-Daten aus Google Cloud besorgen. Lesen Sie hierzu die englische Anleitung Obtaining EAB credentials from Google Cloud. Bei ZeroSSL kann bei der Erstanmeldung eine E-Mail-Verifizierung oder ein API Key nötig sein.

Beantragung eines ACME-SSL-Zertifikats in ServBay

Durchlaufen Sie die folgenden Schritte, um über ACME ein SSL-Zertifikat für Ihre lokale Website in ServBay zu beantragen:

1. ServBay-Verwaltungspanel öffnen Starten Sie die ServBay-App und öffnen Sie das Verwaltungspanel über das Symbol in der Menüleiste oder im Dock.

2. Zu "SSL-Zertifikate" navigieren Klicken Sie im linken Navigationsbereich auf SSL-Zertifikat.

3. Neues Zertifikat beantragen Im Bereich zur Zertifikatsverwaltung klicken Sie oben rechts auf das +-Symbol und wählen Neues Zertifikat beantragen.

4. Zertifikatsgrundlagen konfigurieren

   • Zertifikatname: Vergeben Sie einen leicht wiedererkennbaren Namen, z.B. servbay-demo-ssl.
   • Zweck: Wählen Sie TLS/SSL.
   • Antragsart: Wählen Sie ACME.

5. Zertifizierungsstelle (CA) auswählen Im Feld Zertifizierungsstelle entscheiden Sie, welchen Aussteller Sie verwenden möchten. Standardmäßig ist ZeroSSL vorbelegt. Bei Bedarf können Sie Let's Encrypt oder Google Trust Services auswählen. Das Beispiel beschreibt die Beantragung mit ZeroSSL.

6. DNS-API-Anbieter wählen Im Feld DNS-API-Anbieter wählen Sie Ihren DNS-Provider aus (im Beispiel: Cloudflare). Bitte beachten Sie: Es ist der Anbieter maßgeblich, der das DNS verwaltet, nicht zwangsläufig der Registrar.

7. Algorithmus und Schlüssellänge festlegen

   • Algorithmus: Voreingestellt und empfohlen ist ECC wegen besserer Performance und Sicherheit; für alte Geräte kann ggf. RSA gewählt werden.
   • Schlüssellänge: Bei ECC typischerweise 384 Bit (gilt als sicher). Bei RSA sind z.B. 2048 oder 4096 Bit üblich.

8. Verifizierungsdaten eintragen Abhängig von gewählter CA und DNS-Anbieter erscheinen entsprechende Eingabefelder für Verifizierungsdaten.

   • Für ZeroSSL geben Sie ggf. Ihre E-Mail-Adresse an.
   • Für Cloudflare benötigen Sie beispielsweise Ihren API Key bzw. ähnliche Zugangsdaten. Die Anforderungen entnehmen Sie bitte dem jeweiligen Abschnitt der acme.sh-Wiki.

   WARNING

   Hinweis: Bitte tragen Sie nur den Wert des API Keys oder Secret Keys ein – ohne Shell-Befehle wie export.

9. Domain festlegen Hinterlegen Sie im Feld Domain jene Domain, für die das Zertifikat beantragt werden soll (z.B. servbay.demo oder *.servbay.demo). Für Wildcard-Zertifikate (wie *.servbay.demo) stellen Sie sicher, dass Ihr DNS-Provider entsprechende automatisierte TXT-Records unterstützt.

10. Beantragung starten Prüfen Sie die Angaben und klicken Sie dann auf Anfragen. ServBay verwendet daraufhin das integrierte acme.sh-Tool, um mit den von Ihnen angegebenen DNS API-Daten die Domainverifizierung und Zertifikatsbeantragung bei der CA durchzuführen.

Dieser Vorgang kann je nach Ausbreitung und Geschwindigkeit des DNS und der CA einige Minuten dauern. Den Status können Sie jederzeit im ServBay-Protokoll oder in der Zertifikatsübersicht verfolgen. Nach dem erfolgreichen Antrag finden Sie das neue SSL-Zertifikat in der Liste unter SSL-Zertifikat.

Verwendung des Zertifikats in der Webseiten‑Konfiguration

Nach erfolgreicher Beantragung eines ACME-Zertifikats kann dieses konkret einer Website im ServBay zugeordnet werden:

1. Wechseln Sie im Management-Panel links zum Menüpunkt Websites.
2. Wählen Sie die Website, für die Sie SSL aktivieren möchten, und klicken Sie auf das Bearbeitungssymbol (Stift).
3. Öffnen Sie in den Website-Einstellungen den Abschnitt SSL-Zertifikat.
4. Wählen Sie aus der Dropdown-Liste das soeben beantragte ACME-Zertifikat.
5. Stellen Sie sicher, dass der Schalter SSL aktivieren eingeschaltet ist.
6. Speichern Sie die Website-Konfiguration. Ihre Seite ist nun via HTTPS erreichbar.

Verlängerung von ACME-Zertifikaten

ACME-Zertifikate (etwa von Let's Encrypt oder ZeroSSL) haben in der Regel eine Gültigkeit von 90 Tagen. Damit Ihre Seite dauerhaft per HTTPS gesichert erreichbar bleibt, muss das Zertifikat rechtzeitig verlängert werden.

ServBay überwacht die Gültigkeit aller per ACME angelegten Zertifikate automatisch. Kurz vor Ablauf wird mittels der hinterlegten DNS API-Daten ein automatischer Verlängerungsantrag bei der CA gestellt.

Solange Ihre DNS-API-Zugangsdaten gültig sind und Ihr DNS-Dienst zuverlässig verfügbar ist, erfordert die Verlängerung keine manuelle Intervention – ServBay übernimmt alles automatisch im Hintergrund.

Häufige Fragen (FAQ) & Fehlerbehebung

• Beantragung scheitert mit DNS-Validierungsfehler?
  • Prüfen Sie sorgfältig, ob die DNS-API-Daten korrekt sind und ausreichende Berechtigungen besitzen.
  • Prüfen Sie, ob der ausgewählte DNS-API-Anbieter mit Ihrem tatsächlichen DNS-Provider übereinstimmt.
  • Die Ausbreitung neuer DNS-Einträge benötigt etwas Zeit (mitunter einige Minuten oder länger). Ein späterer Neuantrag hilft oft.
  • Kontrollieren Sie die genaue Schreibweise Ihrer Domain.
• Beantragung scheitert mit EAB-bezogenen Fehlern?
  • Bei erstmaliger ACME-Beantragung über Google Trust Services oder ZeroSSL: Haben Sie die EAB-Daten korrekt eingetragen?
  • Wurden vorher schon Zertifikate erfolgreich ausgestellt, der Antrag aber aktuell abgelehnt, ist vermutlich die EAB-Information abgelaufen bzw. ungültig – bitte neue Daten beantragen.
• Beantragung scheitert wegen Rate-Limit?
  • Zertifizierungsstellen limitieren die Zahl der Anträge pro Domain/IP (Rate Limiting). Bei zahlreichen Versuchen in kurzer Zeit greift dieser Schutz. Versuchen Sie die Beantragung nach einigen Stunden/Tagen erneut.
• Erfolgsmeldung, aber Browser stuft Seite weiter als unsicher ein?
  • Wurde das neue Zertifikat in der betreffenden Website-Konfiguration von ServBay angewendet und SSL aktiviert?
  • Löschen Sie den Browser-Cache oder nutzen Sie ein Inkognito-Fenster.
  • Ist Ihr lokaler Hosts-Eintrag oder Ihre Netzwerk-Konfiguration korrekt auf ServBay gerichtet?
• Wann wird die automatische Verlängerung von ServBay angestoßen? ServBay startet die Verlängerung typischerweise einige Tage (etwa 30) vor Ablauf des Zertifikats. Der Prozess läuft automatisch solange ServBay ausgeführt und eine Netzwerkverbindung besteht.

Fazit

ServBay bietet mit der ACME-Integration eine komfortable Möglichkeit, über eine DNS-API direkt in der lokalen Entwicklungsumgebung vertrauenswürdige SSL/TLS-Zertifikate zu beantragen und zu verwalten. Das vereinfacht nicht nur die Zertifikatsverwaltung erheblich, sondern sorgt vor allem dafür, dass die eigene Entwicklungsumgebung produktionsnah und sicher per HTTPS genutzt werden kann – ein erheblicher Vorteil für Entwicklung und Test.

Wir hoffen, dass Ihnen dieser Artikel dabei hilft, ACME-Zertifikate in ServBay reibungslos einzurichten und Ihre lokale Webentwicklung mit SSL-Absicherung erheblich zu verbessern.