SSL-certificaat aanvragen voor je website in ServBay via ACME
ServBay ondersteunt het automatisch aanvragen van SSL/TLS-certificaten voor je lokale ontwikkelwebsites middels het ACME-protocol. ACME (Automated Certificate Management Environment) is een standaardprotocol voor het automatiseren van het aanvragen, vernieuwen en intrekken van certificaten. Via het ACME-beheerpaneel in ServBay kun je eenvoudig vertrouwde SSL-certificaten instellen voor je lokale websites. Dit is essentieel om productieomgevingen te simuleren en HTTPS-gerelateerde functionaliteit te testen.
Standaard gebruikt ServBay ZeroSSL als uitgevende instantie, maar je kunt flexibel kiezen voor bijvoorbeeld Let's Encrypt of Google Trust Services, zolang deze compatibel zijn met het ACME-protocol.
TIP
Om je lokale ontwikkelomgeving zo consistent mogelijk te houden met productie, is het belangrijk om een vertrouwd SSL-certificaat te gebruiken. Dankzij de ACME-functionaliteit van ServBay is dit proces zeer eenvoudig.
Uitleg kernbegrippen
Voordat je begint, is het handig om enkele kernbegrippen omtrent de ACME-functies van ServBay te begrijpen:
- ACME-protocol: Een open standaard die certificaataanvragen, -verlenging en -beheer automatiseert tussen certificaatautoriteiten (CA's) en servers.
- DNS-01 validatie (via DNS API): Met ACME kan op verschillende manieren worden gevalideerd dat je de eigenaar van een domeinnaam bent. ServBay gebruikt vooral DNS-01: de CA vraagt je een specifieke TXT-record aan je domein toe te voegen in de DNS. Door te controleren of deze record bestaat en correct is, bewijst je het eigendom. Voordelen hiervan:
- Jouw lokale omgeving hoeft niet bereikbaar te zijn vanaf het openbare internet.
- Validatie werkt zelfs als poort 80/443 lokaal worden geblokkeerd door een firewall of provider.
- Extern account koppelen (EAB - External Account Binding): Sommige CA's (zoals Google Trust Services of ZeroSSL) vereisen dat je tijdens de eerste ACME-aanvraag je ACME-client (zoals acme.sh in ServBay) met je account bij de CA koppelt, meestal via een Key ID en HMAC Key.
- ECC versus RSA-certificaten:
- RSA: Traditioneel cryptografisch algoritme, hoog compatibel. Maar vereist langere sleutels (bijv. 2048 of 4096 bits) voor een veilige toepassing, wat meer rekenkracht kost.
- ECC (Elliptic Curve Cryptography): Moderner algoritme dat met veel kortere sleutels (bijv. 256 of 384 bits) hetzelfde beveiligingsniveau biedt. ECC-certificaten leveren betere prestaties, snellere onderhandelingen, lager bandbreedteverbruik en sterke forward secrecy. ServBay raadt standaard ECC-certificaten aan.
Benodigdheden
Omdat ServBay via DNS API werkt voor ACME-certificaat aanvragen, hoeft je lokale website niet publiek toegankelijk te zijn. Zorg dat je aan de volgende voorwaarden voldoet voordat je een SSL-certificaat gaat aanvragen:
- Een eigen domeinnaam: Je hebt een geregistreerd domein nodig waarvan je de DNS-instellingen kunt beheren.
- DNS API Key van je domeinprovider: Tijdens de aanvraag voegt ServBay automatisch TXT-records toe aan je DNS via jouw provider API. Haal de juiste API-key of inloggegevens op bij de partij waar jouw domein wordt beheerd (dit is niet altijd je registrar). Bekijk de sectie DNS API in de acme.sh-documentatie voor ondersteunde leveranciers en instructies: How to use DNS API.
- EAB-informatie (voor Google Trust Services of eerste keer ZeroSSL): Gebruik je Google Trust Services als CA, haal dan je EAB-gegevens uit Google Cloud, zie: Obtaining EAB credentials from Google Cloud. Voor ZeroSSL kan soms e-mailverificatie of een aparte API-key nodig zijn bij de eerste aanvraag.
ACME-certificaat aanvragen binnen ServBay
Volg deze stappen om via ACME een SSL-certificaat voor jouw lokale ontwikkelwebsite aan te vragen:
Open het ServBay-beheerpaneel
Start de ServBay-app en open het beheerpaneel via het systeembalk- of Dock-icoontje.Navigeer naar SSL-certificaatbeheer
Klik in het linker zijmenu op ‘SSL-certificaat’.Start een nieuwe aanvraag
Klik rechtsboven binnen het SSL-certificaatbeheer op het+-icoon en kies ‘Nieuw certificaat aanvragen’.Configureer basisgegevens van het certificaat
- Certificaatnaam: Geef het certificaat een herkenbare naam, zoals
servbay-demo-ssl. - Toepassing: Selecteer ‘TLS/SSL’.
- Aanvraagmethode: Selecteer ‘ACME’.
- Certificaatnaam: Geef het certificaat een herkenbare naam, zoals
Kies een certificaatautoriteit (CA) Selecteer een CA in het dropdownmenu. Standaard is dit ‘ZeroSSL’, maar ‘Let's Encrypt’ of ‘Google Trust Services’ zijn ook beschikbaar. We gebruiken hier ‘ZeroSSL’ als voorbeeld.
Kies jouw DNS API-provider Selecteer de partij die daadwerkelijk de DNS voor jouw domein beheert; dit is bijvoorbeeld ‘Cloudflare’ (niet altijd je domeinregistrar).
Selecteer algoritme en sleutelgrootte
- Algoritme: Standaard en aanbevolen is ‘ECC’, gezien de betere prestaties en beveiliging. Voor maximale compatibiliteit kun je ‘RSA’ kiezen.
- Sleutelgrootte: Bij ECC is 384 bits standaard en veilig. Bij RSA is 2048 of 4096 bits gebruikelijk.
Vul validatiegegevens in Afhankelijk van je gekozen CA en DNS-provider verschijnen de nodige invulvelden.
- Voor ZeroSSL is vaak je e-mailadres vereist.
- Voor Cloudflare is meestal je API Key of aanverwante gegevens nodig. Check de acme.sh Wiki voor vereisten per provider.
WARNING
Let op: Plak alleen de waarde van je API Key of geheime sleutel in het invulveld, zonder ‘export’ of andere shell-commando’s.
Voer de domeinnaam in Vul bij ‘Domein’ het (sub)domein in waarvoor je een certificaat wilt aanvragen, bijvoorbeeld
servbay.demoof een wildcard als*.servbay.demo. Controleer voor wildcards of je DNS-provider ondersteuning biedt voor automatische aanmaak van TXT-records voor wildcards.Dien de aanvraag in Check alle gegevens en klik op ‘Aanvragen’. ServBay gebruikt nu de geïntegreerde
acme.sh-tool en jouw DNS API-gegevens om automatisch het domein te verifiëren en het certificaat op te vragen bij de CA.

Het aanvraagproces kan enige tijd duren, afhankelijk van de DNS-propagatie en CA-reactietijd. Je kunt de voortgang volgen in de ServBay-log of de certificaatlijst. Na succesvolle aanvraag verschijnt het nieuwe certificaat onder ‘SSL-certificaten’.
Lopende aanvraag onderbreken
Tijdens de ACME-aanvraag verandert ‘Aanvragen’ in een ‘Stop aanvraag’-knop. Duurt het proces te lang (bijvoorbeeld door trage DNS-propagatie of onjuiste gegevens)? Klik dan op ‘Stop aanvraag’ om het acme.sh-proces te annuleren. Je kunt direct opnieuw proberen na correctie, zonder op tijdslimieten te wachten.
Geavanceerde opties: DNS-propagatietijd & DNS-selftest overslaan
Standaard controleert acme.sh na het toevoegen van de TXT-record lokaal of deze DNS-record daadwerkelijk is doorgevoerd en meldt dan pas aan de CA om te valideren. Lokale tests kunnen soms mislukken of hangen, bijvoorbeeld door lokale DNS-hijacking, fake-IP-modus of conflicten tussen lokale en publieke DNS-resolutie.
Daarom biedt ServBay deze opties in het aanvraagvenster:
- Wachttijd (seconden): Standaard 120 seconden, ServBay wacht zolang met het informeren van de CA zodat DNS-propagatie wereldwijd kan plaatsvinden.
- Sla lokale DNS-selftest over: Indien geactiveerd slaat
acme.shde lokale DNS-check over en wordt direct na de ingestelde wachttijd gevalideerd door de CA. Ideaal als lokale DNS-tests onbetrouwbaar zijn door gehackte of niet-synchrone DNS-resolver.
TIP
In de meeste standaardomgevingen kun je de geavanceerde opties ongemoeid laten. Pas deze alleen aan als je merkt dat ‘TXT-record geaccepteerd in de cloud, maar lokale validatie blijft falen’. Zet dan ‘DNS-selftest overslaan’ aan en vergroot eventueel de wachttijd.
Certificaat toepassen op ServBay-website
Nadat je het ACME-certificaat succesvol hebt verkregen, kun je deze zo inzetten voor je website in ServBay:
- Klik links in het beheerpaneel op ‘Websites’.
- Selecteer de gewenste website en klik op het potloodicoon (bewerken).
- Zoek de ‘SSL-certificaat’-instelling op de detailpagina.
- Kies jouw nieuwe ACME-certificaat uit de lijst.
- Zet de schakelaar ‘SSL inschakelen’ aan.
- Sla de instellingen op. Je site is nu bereikbaar via HTTPS.

Verlenging van ACME-certificaat
Certificaten verkregen via ACME (zoals die van Let's Encrypt of ZeroSSL) zijn doorgaans 90 dagen geldig. Voor een veilig HTTPS-verbinding moet je certificaat tijdig verlengd worden.
ServBay controleert automatisch de geldigheid van elk via ACME aangevraagd certificaat. Indien het certificaat bijna verloopt, zal ServBay – met de huidige DNS API-gegevens – tijdig een verlengingsverzoek indienen bij de CA.
Zolang je DNS API-inloggegevens nog kloppen en je domein-DNS stabiel werkt, hoef je niets handmatig te verlengen. ServBay regelt alles op de achtergrond.
Veelgestelde vragen (FAQ) & Probleemoplossing
- Aanvraag mislukt, foutmelding over DNS-validatie?
- Controleer of je het juiste DNS API key hebt ingevuld en of je voldoende rechten hebt op het aanpassen van TXT-records.
- Check of je in ServBay dezelfde DNS-provider hebt gekozen als waar je domein daadwerkelijk wordt gehost.
- Houd rekening met tijd voor DNS-propagatie: soms duurt wereldwijde synchronisatie enkele minuten of langer.
- Controleer de domeinnaam op spelfouten.
- Als TXT-record online actief is maar lokale validatie faalt (bijv. bij fake-IP), zet ‘DNS-selftest overslaan’ aan en verhoog de wachttijd (‘Geavanceerde opties’ hierboven).
- Foutmelding met betrekking tot EAB?
- Bij Google Trust Services of eerste ZeroSSL-aanvraag: controleer of je correcte EAB-gegevens hebt ingevoerd.
- Is een eerdere aanvraag wel gelukt, maar nu niet meer, dan kan de EAB-credential ongeldig of verlopen zijn. Vraag nieuwe aan.
- Melding “Rate Limit bereikt”?
- CA’s hanteren limieten voor het aantal certificaten dat je in korte tijd per domein of IP mag aanvragen. Wacht een paar uur of dagen en probeer het opnieuw.
- Certificaat aangevraagd, maar website wordt nog steeds als onveilig aangemerkt?
- Controleer of het certificaat daadwerkelijk voor de juiste site is ingesteld in ServBay en of SSL is ingeschakeld.
- Probeer browsercache te wissen of open de site in incognitomodus.
- Kijk of je Hosts-bestand of netwerkinstellingen goed verwijzen naar ServBay.
- Wanneer regelt ServBay automatische verlenging? Meestal start ServBay de verlengingsprocedure 30 dagen voor de vervaldatum. Als de app actief is en het netwerk werkt, loopt de verlenging volledig automatisch op de achtergrond.
Samenvatting
ServBay biedt krachtige en gebruiksvriendelijke ACME-tools waarmee ontwikkelaars snel en veilig vertrouwde SSL/TLS-certificaten voor hun lokale ontwikkelwebsites kunnen aanvragen en beheren via de DNS API. Dit vereenvoudigt de certificaatconfiguratie én maakt je lokale omgeving veiliger en meer overeenkomend met productie, ideaal voor het ontwikkelen en testen van HTTPS-functionaliteit.
Hopelijk helpt deze handleiding je om soepel SSL-certificaten via de ACME-methode in ServBay te configureren en het maximale uit je lokale ontwikkelomgeving te halen.
