SSL-certificaat aanvragen in ServBay met ACME

ServBay ondersteunt het automatisch aanvragen van SSL/TLS-certificaten voor je lokale ontwikkelwebsites via het ACME-protocol. ACME (Automated Certificate Management Environment) is een standaardprotocol voor het automatiseren van het gehele certificaatproces, inclusief aanvraag, verlenging en intrekking. Met het handige ACME-beheerportaal van ServBay configureer je eenvoudig vertrouwde SSL-certificaten voor lokale websites — ideaal om de productieomgeving na te bootsen en HTTPS-functionaliteiten te testen.

Standaard gebruikt ServBay ZeroSSL als certificaatautoriteit (CA), maar je kunt ook flexibel kiezen voor andere ACME-compatibele CA's zoals Let's Encrypt of Google Trust Services.

TIP

Om de lokale ontwikkelomgeving zo gelijk mogelijk te maken aan productie, is het cruciaal om vertrouwde SSL-certificaten te gebruiken. Met ServBay's ACME-functionaliteit wordt dit proces uitzonderlijk eenvoudig.

Kernbegrippen uitgelegd

Voordat je begint, is het handig om een aantal kernbegrippen rondom ServBay's ACME-functionaliteit te begrijpen:

• ACME-protocol: Een open standaard om interactie tussen een certificaatautoriteit (CA) en servers te automatiseren, zodat certificaten automatisch kunnen worden aangevraagd, verlengd en beheerd.
• DNS-01 validatie (via DNS API): Het ACME-protocol ondersteunt verschillende methodes voor domeinverificatie. ServBay maakt vooral gebruik van DNS-01, waarbij je provider een specifieke TXT-record in DNS moet plaatsen. Door die TXT-record te controleren, bevestigt de CA jouw domeincontrole. Voordelen hiervan zijn:
  • Je lokale ontwikkelomgeving hoeft niet publiekelijk toegankelijk te zijn.
  • Validatie werkt zelfs als poort 80/443 lokaal geblokkeerd zijn.
• External Account Binding (EAB): Voor sommige CA’s (zoals Google Trust Services of ZeroSSL) is het nodig om, bij je eerste aanvraag via het ACME-protocol, het ACME-account (ServBay’s geïntegreerde acme.sh) te koppelen aan je geregistreerde CA-account. Dit gebeurt meestal via een Key ID en een HMAC Key.
• ECC vs. RSA-certificaat:
  • RSA: Traditioneel algoritme met hoge compatibiliteit. Vereist langere sleutels (2048 of 4096 bits) voor veiligheid, wat meer rekenkracht vraagt.
  • ECC (Elliptic Curve Cryptography): Moderner algoritme met evenveel veiligheid bij veel kortere sleutels (bijvoorbeeld 256 of 384 bits), wat zorgt voor betere prestaties, snellere handshakes, minder bandbreedteverbruik en betere forward secrecy. ServBay raadt standaard ECC aan.

Vereisten

ServBay vraagt via de DNS API ACME-certificaten aan, zonder dat je lokale site publiekelijk toegankelijk hoeft te zijn. Voldoe voor je SSL-certificaat aanvraagt via ACME aan het volgende:

1. Eigen domeinnaam: Je moet een domeinnaam bezitten waarvan je de DNS-records kunt beheren.
2. API-sleutel van je DNS-provider: Tijdens het ACME-proces moeten TXT-records automatisch in DNS gezet en verwijderd worden. Zorg ervoor dat je de API-key of relevante credentials hebt van je DNS-provider (het platform dat je DNS beheert, wat niet altijd je registrar is). Zie voor een lijst van ondersteunde providers en instructies de DNS API Wiki van acme.sh (Engels): How to use DNS API.
3. EAB-informatie verkrijgen (voor Google Trust Services of eerste keer ZeroSSL): Gebruik je Google Trust Services, dan moet je EAB-gegevens via Google Cloud genereren. Zie de officiële handleiding van Google Cloud (Engels): Obtaining EAB credentials from Google Cloud. Voor ZeroSSL is soms een e-mailverificatie of API-key nodig bij de eerste aanvraag.

SSL-certificaat aanvragen via ACME in ServBay

Doorloop deze stappen om een SSL-certificaat aan te vragen voor je lokale ontwikkelwebsite via ACME:

1. Open het ServBay-beheerportaal Start de ServBay-app en open het beheerportaal via het menubalkpictogram of het Dock.

2. Navigeer naar SSL-certificaatbeheer Klik in het linkermenu van ServBay op SSL-certificaten.

3. Nieuw certificaat aanvragen Klik rechtsboven op het +-icoon en kies Nieuw certificaat aanvragen.

4. Voer basisgegevens certificaat in

   • Certificaatnaam: Geef een duidelijke naam voor het certificaat, bijvoorbeeld servbay-demo-ssl.
   • Doel: Selecteer TLS/SSL.
   • Aanvraagmethode: Kies ACME.

5. Selecteer certificaatautoriteit (CA) Kies bij Uitgever de gewenste CA. Standaard is dit ZeroSSL, maar je kunt ook Let's Encrypt of Google Trust Services selecteren. In dit voorbeeld kiezen we ZeroSSL.

6. Selecteer DNS API-provider Selecteer bij DNS API-provider de DNS-provider van je domein. Bijvoorbeeld Cloudflare. Let op: selecteer hier de partij die je DNS-beheer verzorgt; dat is soms een andere dan waar je domein is geregistreerd.

7. Selecteer algoritme en sleutellengte

   • Algoritme: Standaard aanbevolen is ECC — betere prestaties en veiligheid. Voor oudere apparaten kun je eventueel RSA kiezen.
   • Sleutellengte: ECC: meestal 384 bits (voldoende veilig). RSA: doorgaans 2048 of 4096 bits.

8. Voer validatie-informatie in De benodigde velden verschijnen afhankelijk van je gekozen Uitgever en DNS API-provider.

   • Bij ZeroSSL moet vaak een e-mailadres ingevuld worden.
   • Bij Cloudflare DNS API vul je je API Key of andere vereiste tokens in, conform de instructies van de acme.sh Wiki.

   WARNING

   Let op: Plak alleen de waarde van je API Key or geheime sleutel — zonder shell-commando’s zoals export aan het begin.

9. Voer domeinnaam in Vul je (sub)domein in waarvoor je een certificaat aanvraagt (bijvoorbeeld: servbay.demo of *.servbay.demo). Gebruik je een wildcard (zoals *.servbay.demo), controleer dan of je DNS-provider automatische toevoeging van TXT-records voor wildcards ondersteunt.

10. Start aanvraag Controleer alle gegevens en klik op Aanvragen. ServBay gebruikt nu het geïntegreerde acme.sh-hulpmiddel om via jouw DNS API-info het domein te valideren en het certificaat bij de CA aan te vragen.

De aanvraag kan enige tijd duren, afhankelijk van DNS-propagatie en de snelheid van de CA. In de ServBay-log of certificaatlijst kun je de aanvraagstatus volgen. Na succes verschijnt het nieuwe certificaat in de lijst SSL-certificaten.

Certificaat gebruiken in je ServBay-sites

Na succesvolle aanvraag kun je het ACME-certificaat koppelen aan een website in ServBay:

1. Ga in het beheerportaal naar de optie Websites aan de linkerkant.
2. Kies de website die je wilt beveiligen en klik op het bewerken-pictogram (potloodje) aan de rechterkant.
3. Zoek op de detailpagina van de site naar de optie SSL-certificaat.
4. Kies in het dropdown-menu het ACME-certificaat dat je zojuist hebt aangevraagd.
5. Zet de schakelaar SSL inschakelen aan.
6. Sla je websiteconfiguratie op. Je website is nu bereikbaar via HTTPS.

ACME-certificaten verlengen

ACME-certificaten (bijvoorbeeld van Let's Encrypt of ZeroSSL) zijn meestal 90 dagen geldig. Om continu HTTPS te kunnen gebruiken, moet je certificaat tijdig verlengd worden.

ServBay controleert automatisch de geldigheid van via ACME aangevraagde certificaten. Wanneer een certificaat (bijna) verloopt, doet ServBay een automatische verlengingsaanvraag bij de CA via de eerder opgeslagen DNS API-gegevens.

Zolang je DNS-API-gegevens up-to-date zijn en je DNS-provider goed werkt, hoef je niets handmatig te verlengen — ServBay regelt dit automatisch op de achtergrond.

FAQ & Probleemoplossingen

• Aanvraag mislukt, DNS-validatiefout?
  • Controleer of je de juiste DNS API-gegevens hebt ingevuld en dat deze machtiging geven voor het wijzigen van TXT-records.
  • Check of de gekozen DNS API-provider in ServBay identiek is aan de daadwerkelijk gebruikte provider.
  • Na het toevoegen van DNS-records kan het enkele minuten tot langer duren voordat deze wereldwijd zichtbaar zijn. Probeer het later opnieuw.
  • Controleer de spelling van je domeinnaam.
• Aanvraag mislukt, foutmelding m.b.t. EAB?
  • Bij het eerste gebruik van Google Trust Services of ZeroSSL: Zorg dat je EAB-gegevens correct zijn opgehaald en ingevoerd.
  • Bij eerdere succesvolle aanvragen die nu mislukken: Mogelijk zijn de EAB-gegevens verlopen of ongeldig, vraag ze opnieuw op.
• Aanvraag mislukt vanwege rate limiting (snelheidsbeperking)?
  • Certificaatuitgevers hanteren beperkingen op het aantal aanvragen per domein of IP-adres per tijdsinterval. Als je te vaak of te veel certificaten aanvraagt, kun je hier tegenaan lopen. Wacht enkele uren/dagen en probeer het opnieuw.
• Certificaat is succesvol, maar site wordt als onveilig weergegeven in de browser?
  • Controleer of je het nieuwe certificaat in de siteconfiguratie binnen ServBay hebt geselecteerd en SSL hebt ingeschakeld.
  • Leeg je browsercache of probeer private/incognitomodus.
  • Controleer of je lokale hostsbestand of netwerkconfiguratie goed naar ServBay verwijst.
• Wanneer start ServBay automatisch verlengen? ServBay probeert automatisch te verlengen vanaf een vastgesteld aantal dagen (bv. 30) voor vervaldatum. Zolang de app draait en internettoegang aanwezig is, verloopt dit op de achtergrond.

Samenvatting

ServBay biedt krachtige en gebruiksvriendelijke ACME-functionaliteit waarmee ontwikkelaars via de DNS API eenvoudig vertrouwde SSL/TLS-certificaten voor lokale ontwikkelwebsites kunnen aanvragen en beheren. Dit maakt certificaatbeheer niet alleen een stuk eenvoudiger, maar helpt ook om een productiegetrouwe, HTTPS-ondersteunende lokale ontwikkelomgeving te bouwen, waardoor je efficiënter kunt ontwikkelen en testen.

Hopelijk heeft dit artikel je geholpen bij het configureren van SSL-certificaten met ACME in ServBay en wordt je lokale ontwikkelervaring zo nóg beter!