SSL-Zertifikate in ServBay mit ACME beantragen
ServBay unterstützt das automatische Beantragen von SSL/TLS-Zertifikaten für Ihre lokale Entwicklungswebsite mithilfe des ACME-Protokolls. ACME (Automated Certificate Management Environment) ist ein Standardprotokoll zur automatisierten Verwaltung des Zertifikats-Lebenszyklus, einschließlich Ausstellung, Verlängerung und Widerruf. Über das ACME-Verwaltungspanel von ServBay können Sie schnell und komfortabel vertrauenswürdige SSL-Zertifikate für lokale Websites einrichten – essenziell für die Simulation von Produktionsumgebungen und das Testen von HTTPS-Funktionen.
Standardmäßig kommt für Zertifikate ZeroSSL zum Einsatz, Sie können jedoch flexibel auch Let's Encrypt oder Google Trust Services und andere ACME-kompatible Zertifizierungsstellen (CA) auswählen.
TIP
Um maximale Übereinstimmung zwischen Entwicklung und Produktion zu erreichen, ist die Nutzung vertrauenswürdiger SSL-Zertifikate von großer Bedeutung. Die ACME-Funktion von ServBay macht diesen Prozess besonders einfach.
Wichtige Grundbegriffe
Vor dem Start hilft es, einige Schlüsselbegriffe rund um die ACME-Funktion von ServBay zu verstehen:
- ACME-Protokoll: Ein offener Standard für die automatisierte Kommunikation und Zertifikatsverwaltung zwischen Zertifizierungsstelle (CA) und Server – einschließlich Beantragung, Verlängerung und Management von Zertifikaten.
- DNS-01-Validierung (via DNS API): Das ACME-Protokoll unterstützt verschiedene Methoden, um den Besitz einer Domain zu prüfen. ServBay setzt primär auf die DNS-01-Methode: Die CA fordert Sie auf, einen spezifischen TXT-Eintrag in den DNS-Records Ihrer Domain zu setzen. Nach erfolgreicher Prüfung kann die CA Ihren Domainbesitz bestätigen. Vorteile dieser Methode:
- Ihre lokale Entwicklungsumgebung muss nicht öffentlich erreichbar sein.
- Auch wenn lokale Ports 80/443 blockiert sind (z. B. durch Firewall/ISP), ist die Validierung möglich.
- External Account Binding (EAB): Für manche Zertifizierungsstellen (wie Google Trust Services oder ZeroSSL) muss bei Erstantrag eines ACME-Zertifikats eine Verknüpfung zu Ihrem Kundenkonto im CA-System erfolgen. Hierzu sind meist ein Key ID und ein HMAC Key notwendig.
- ECC vs. RSA-Zertifikate:
- RSA: Klassischer Verschlüsselungsalgorithmus, sehr kompatibel, benötigt für adäquate Sicherheit längere Schlüssellängen (2048 bzw. 4096 Bit) und verursacht höhere Rechenlast.
- ECC (Elliptic Curve Cryptography): Modernes Verschlüsselungsverfahren, erreicht bei wesentlich kürzeren Schlüsselniveau (z. B. 256 oder 384 Bit) ein vergleichbares Maß an Sicherheit. ECC-Zertifikate bieten bessere Performance, schnellere Handshakes, geringeren Bandbreitenbedarf und bessere Forward Secrecy. ServBay empfiehlt standardmäßig ECC-Zertifikate.
Voraussetzungen
ServBay beantragt ACME-Zertifikate per DNS API. Ihr lokales Projekt muss somit nicht aus dem Internet erreichbar sein. Prüfen Sie bitte vorab folgende Punkte:
- Eigene Domain: Sie benötigen eine registrierte Domain, deren DNS-Einträge Sie selbst verwalten können.
- API-Key Ihres DNS-Anbieters: Für die ACME-Beantragung werden per DNS API automatisiert TXT-Records zur Bestätigung gesetzt und entfernt. Den notwendigen API-Key bzw. Zugangsdaten bekommen Sie von dem Anbieter, bei dem Sie tatsächlich das DNS-Management für Ihre Domain vornehmen (dies ist nicht zwangsläufig der Domain-Registrar!). Informationen zu unterstützten DNS-Anbietern und der Einrichtung finden Sie in der offiziellen Wiki von
acme.shunter How to use DNS API (englisch). - EAB-Information bei erstmaliger Nutzung (Google Trust Services oder ZeroSSL): Für Google Trust Services ist die Einrichtung von EAB-Daten notwendig, die Sie bei Google Cloud anfordern. Siehe die Anleitung Obtaining EAB credentials from Google Cloud (englisch). Auch bei ZeroSSL kann bei Erstantrag eine E-Mail-Bestätigung oder ein API-Key-Abgleich notwendig sein.
SSL-Zertifikat via ACME in ServBay beantragen
Schritt-für-Schritt-Anleitung zur Zertifikatsbeantragung in ServBay mit ACME:
ServBay Control Panel öffnen Starten Sie die ServBay-App und öffnen Sie das Verwaltungspanel über das Systemmenüleisten- oder Dock-Icon.
Navigieren zur SSL-Zertifikatsverwaltung Wählen Sie im Seitenmenü die Rubrik
SSL-Zertifikate.Neues Zertifikat beantragen Klicken Sie in der Zertifikatsübersicht auf das
+-Symbol und wählen SieNeues Zertifikat beantragen.Zertifikatsdaten konfigurieren
- Zertifikatsname: Vergeben Sie einen eindeutigen Namen zur besseren Wiedererkennung (z. B.
servbay-demo-ssl). - Verwendungszweck: Wählen Sie
TLS/SSL. - Anfragetyp: Wählen Sie
ACME.
- Zertifikatsname: Vergeben Sie einen eindeutigen Namen zur besseren Wiedererkennung (z. B.
Zertifizierungsstelle (CA) auswählen Wählen Sie im Dropdown-Menü den gewünschten Anbieter (Default:
ZeroSSL, alternativLet's EncryptoderGoogle Trust Services). In diesem Beispiel nehmen wirZeroSSL.DNS API-Anbieter wählen Wählen Sie den DNS-Dienstleister Ihrer Domain aus. Hier beispielsweise
Cloudflare. Entscheidend ist, wer den DNS für Ihre Domain verwaltet – nicht unbedingt der Domain-Registrar.Algorithmus und Schlüssellänge festlegen
- Algorithmus: Standardmäßig wird
ECCempfohlen (Performance/Sicherheit). Für Kompatibilität mit älteren Geräten kann auchRSAgewählt werden. - Schlüssellänge: Bei ECC werden meist
384Bit genutzt (ausreichend sicher). Für RSA sind2048oder4096Bit üblich.
- Algorithmus: Standardmäßig wird
Validierungsdaten eingeben Je nach CA und DNS-Provider erscheinen im Formular weitere Felder:
- Für ZeroSSL ist meist eine E-Mail-Adresse erforderlich.
- Cloudflare und andere DNS-Anbieter benötigen einen API-Key o. ä. Authentifizierungsdaten (siehe die
acme.shWiki für Details).
WARNING
Hinweis: Bitte fügen Sie ausschließlich den Wert des API Keys oder Secret ein – ohne das Präfix eines Shell-Kommandos wie
export.Domain eingeben Tragen Sie im Feld
Domaindie Ziel-Domain ein (z. B.servbay.demooder*.servbay.demo). Für Wildcard-Zertifikate (*.servbay.demo) muss der DNS-Anbieter diese Funktion unterstützen.Beantragung starten Nach Überprüfung aller Eingaben klicken Sie auf
Anfordern. ServBay steuert das integrierteacme.sh-Tool und erledigt Domainprüfung und Zertifikatsantrag entsprechend Ihrer DNS-API-Angaben automatisch.

Der Gesamtprozess kann wenige Minuten dauern – je nach DNS-Propagierung und CA-Reaktionszeit. Den Beantragungsfortschritt sehen Sie im Protokoll oder in der Zertifikatsliste im ServBay-Panel. Nach Erfolg erscheint das neue Zertifikat unter SSL-Zertifikate.
Beantragung abbrechen
Während der laufenden ACME-Beantragung wechselt der Button Anfordern zu Beantragung stoppen. Sollte sich der Vorgang ungewöhnlich lange hinziehen (z. B. wegen langsamer DNS-Propagation oder fehlerhaften Zugangsdaten), können Sie mit Beantragung stoppen den aktuellen acme.sh-Prozess abbrechen, Daten korrigieren und neu starten – ohne auf Timeout warten zu müssen.
Erweiterte Optionen: DNS-Propagation und DNS-Selbsttest überspringen
Standardmäßig prüft acme.sh nach dem Setzen des Validierungs-TXTs lokal, ob der DNS-Eintrag bereits aktiv ist, bevor die CA informiert wird. In bestimmten Setups (z. B. DNS-Spoofing lokal, Fake-IP-Modus oder abweichende lokale/öffentliche DNS-Auflösung) kann dieser Selbsttest scheitern oder hängen, auch wenn der TXT-Eintrag schon weltweit korrekt verfügbar ist.
Für solche Fälle bietet ServBay folgende Einstellmöglichkeiten:
- Wartezeit (Sekunden): Legen Sie die Wartezeit für die DNS-Propagation fest (Default:
120Sekunden). ServBay wartet entsprechend, bevor der CA die Validierung gemeldet wird. - DNS-Selbsttest überspringen: Ist diese Option aktiv, überspringt
acme.shdie lokale Prüfung und übergibt nach der eingestellten Wartezeit direkt an die CA. Sinnvoll, falls lokales DNS nicht zuverlässig ist (z. B. bei Fake-IP-Modus).
TIP
Solange Ihre lokale DNS-Umgebung funktioniert und keine Probleme bei der Beantragung auftreten, bleiben die Standardeinstellungen ausreichend. Nur falls Sie trotz korrekter öffentlicher TXT-Einträge regelmäßig an lokaler Validierung scheitern, aktivieren Sie DNS-Selbsttest überspringen und erhöhen ggf. die Wartezeit.
Anwendung des Zertifikats in der ServBay-Webseitenkonfiguration
Nach erfolgreicher ACME-Beantragung können Sie das Zertifikat Ihrer lokalen ServBay-Seite zuordnen:
- Öffnen Sie im linken Panel die Rubrik
Websites. - Wählen Sie die Zielwebsite aus und klicken Sie auf das Editieren-Symbol (Stiftsymbol).
- Im Einstellungsdialog finden Sie die Option
SSL-Zertifikat. - Wählen Sie im Dropdown das eben erstellte ACME-Zertifikat.
- Aktivieren Sie den Schalter
SSL aktivieren. - Speichern Sie die Änderungen. Ihre Website ist nun per HTTPS erreichbar.

Verlängerung von ACME-Zertifikaten
Von ACME bereitgestellte Zertifikate (wie etwa von Let's Encrypt oder ZeroSSL) sind in der Regel 90 Tage gültig. Um durchgehend sichere HTTPS-Verbindungen zu ermöglichen, müssen sie vor Ablauf verlängert werden.
ServBay überwacht automatisch das Ablaufdatum von per ACME ausgestellten Zertifikaten. Kurz vor Ablauf startet ServBay mit den bereits hinterlegten DNS-API-Daten selbstständig eine Verlängerung.
Sofern Ihr DNS-API-Zugang gültig bleibt und der DNS-Service stabil läuft, ist kein manuelles Eingreifen für die Verlängerung notwendig – ServBay regelt alles im Hintergrund.
FAQ & Fehlerbehebung
- Beantragung fehlgeschlagen, DNS-Validierungsfehler?
- Prüfen Sie sorgfältig, ob Sie die richtigen DNS-API-Daten hinterlegt haben und genügend Berechtigungen zum Bearbeiten von TXT-Einträgen besitzen.
- Kontrollieren Sie, ob der ausgewählte
DNS API-Anbietermit Ihrem tatsächlichen DNS-Service zusammenpasst. - Manche TXT-Records brauchen Minuten oder länger bis zur weltweiten Verfügbarkeit. Probieren Sie es ggf. später nochmals.
- Tippfehler in der Domain ausschließen.
- Falls die öffentlichen TXT-Einträge stimmen, aber die lokale Validierung dennoch fehlschlägt (oft bei lokalem DNS-Spoofing/Fake-IP), nutzen Sie bitte die Optionen
DNS-Selbsttest überspringenund passen Sie die Wartezeit an (siehe Abschnitt „Erweiterte Optionen“).
- Beantragung fiel mit EAB-Fehlern aus?
- Bei Antrag über Google Trust Services oder ZeroSSL: Stellen Sie sicher, dass Sie korrekte EAB-Daten hinterlegt haben.
- Falls Sie bereits erfolgreich beantragt haben und nun Fehler auftreten, sind die EAB-Daten evtl. abgelaufen oder ungültig und müssen neu eingeholt werden.
- Beantragung schlägt fehl, Rate Limit erreicht?
- CAs begrenzen die Anzahl an Zertifikatsanträgen pro Domain/IP pro Zeitraum. Viele Anträge in kurzer Zeit können zu Rate-Limits führen. Warten Sie dann einige Stunden/Tage.
- Beantragung erfolgreich, die Seite aber weiterhin als unsicher angezeigt?
- Prüfen Sie, ob das neue Zertifikat in der Websitekonfiguration aktiv ist und SSL eingeschaltet wurde.
- Leeren Sie ggf. den Browsercache oder nutzen Sie den Inkognitomodus.
- Kontrollieren Sie, ob Ihr lokales Hosts-File und Netzwerkeinstellungen korrekt auf ServBay verweisen.
- Wann startet ServBay den automatischen Verlängerungsversuch? Meist beginnt ServBay etwa 30 Tage vor Ablauf mit der automatischen Verlängerung. Solange die App läuft und das System online ist, läuft die Verlängerung vollautomatisch im Hintergrund.
Fazit
ServBay bietet mit seiner leistungsstarken und komfortablen ACME-Integration eine einfache Methode, per DNS API vertrauenswürdige SSL/TLS-Zertifikate für lokale Projekte zu verwalten. So gelingt nicht nur die unkomplizierte Einrichtung, sondern auch eine möglichst echtproduktion-nahe, HTTPS-geschützte Entwicklungsumgebung – ein deutlicher Gewinn für Qualität und Sicherheit Ihrer Entwicklung und Tests.
Wir hoffen, dieses Tutorial hilft Ihnen dabei, ACME-gestützt SSL-Zertifikate in ServBay einzurichten und Ihre lokale Entwicklungsarbeit weiter zu optimieren.
