Weboberfläche der STARFACE | Menüpunkt "Admin" | Menüpunkt "Server" | Reiter "ACME" |
|---|
| | |  Image Removed Image Added
|
In diesem Reiter kann können ACME Zertifikate von Let’s Encrypt für die Nutzung auf der STARFACE eingepflegt werden. Gibt es nicht auf Clouds. - TLS (Transport Layer Security) beschreibt eine verschlüsselte Verbindung
- X.509 Zertifikate beschreiben, wieso bestimmten Verbindungen vertraut wird
- PKI (Public Key Infrastructure) beschreibt, warum bestimmten Zertifikaten vertraut wird
Was bedeutet ACME?ACME (Automatic Certificate Management Environment) beschreibt ein Internetprotokoll, das die Verwaltung des Lebenszyklus von X.509-Zertifikaten automatisiert. Es ermöglicht eine leichtere Kommunikation zwischen den jeweiligen ACME-Clients mit der Zertifizierungsstelle. ACME dient insbesondere der Verwaltung des Lebenszyklus von SSL/TLS-Zertifikaten – von der Ausstellung, sowie Validierung über die Installation bis hin zum Widerruf und ihrer Erneuerung. ACME ist die Basis für die Funktionsweise von Let's Encrypt. Was ist das Ziel von Let's Encrypt/ACME?Das Ziel von Let’s Encrypt und des ACME-Protokolls besteht darin, die beantragt werden. Das Ziel besteht in der Einrichtung eines HTTPS-Servers zu ermöglichen, der automatisch ein vertrauenswürdiges Browserzertifikat ohne menschliches manuelles Eingreifen erhält. Dies wird durch Ausführen eines Zertifikatsverwaltungsagenten auf dem Webserver erreicht. Die grundsätzliche Funktionsweise und der Aufbau werden auf der Webseite der Zertifizierungsstelle erklärt. | Hinweis |
|---|
Anlage Hinweis: Diese Funktionalität steht in der STARFACE Cloud nicht zur Verfügung. |
Technische Voraussetzungen- Die STARFACE muss öffentlich
auf - via Port 80 unter der angegebenen Domain erreichbar sein
!Wie wird der - . Diese Voraussetzung gilt nur für die Ersteinrichtung.
- Für jede registrierte Domain können bei Let's Encrypt
-Server eingerichtet?- pro Woche 50 Zertifikate beantragt werden.
Neues Zertifikat beantragenDurch die Auswahl der Schaltfläche "Aktivieren" wird die Konfigurationsmaske für ein neues Zertifikat geöffnet. Es müssen danach die folgenden Punkte konfiguriert werden. Im ersten Schritt wird konfiguriert, ob die E-Mailadresse des angemeldeten Administrators an den ACME Server übertragen werden soll oder ob eine andere E-Mailadresse dafür verwendet werden soll.  Image Added
Im zweiten Schritt wird ausgewählt für welche Domain das Zertifikat ausgestellt werden soll.  Image Added
Im dritten Schritt wird das Neustartverhalten der STARFACE bei der Ausstellung eines neuen Zertifikats konfiguriert. Diese Einstellung gilt für die Ersteinrichtung und auch für spätere Zertifikatserneuerungen. Ist die Option für den manuelle Neustarts ausgewählt, wird der Administrator per E-Mail über die Notwendigkeit eines Neustarts informiert.  Image Added
Im letzten Schritt muss dem Haftungsausschluss und den Nutzungsbedingungen zugestimmt werden.  Image Added
Nach dem Abspeichern dauert es etwa 20 Sekunden bis die Statusseite geöffnet wird.  Image Added
Auf der Statusseite sind die folgenden Informationen einsehbar: - Nächste geplante Ausführung
- Aktuelle Konfiguration
- Daten des zuletzt ausgestellten Zertifikats
In dem Reiter "Webserver" wird das neue Zertifikat ebenfalls angezeigt. Voreinstellungen Klicke im Menüpunkt "Server" auf den Reiter "ACME". - Wähle in diesem Tab zwischen einer selbst erstellten E-Mail-Adresse oder übernehme die bereits hinterlegte E-Mail-Adresse des Administrators.
- Wähle anschließend zwischen einer selbst erstellten Zertifikatsdomain oder übernehme den Standard-Hostnamen des Systems.
- Der Server wird automatisch neu gestartet, wenn man ein Zertifikat erhalten hat (Dies gilt auch bei der Ersteinrichting von Let's Encrypt). Ein manueller Neustart ist auch auswählbar, dabei erhält der Administrator eine E-Mail, auf die geantwortet werden muss.
- Bestätige den Haftungsausschluss und die Zustimmung der Nutzungsbedingungen der Certificate Auhority, indem das Kästchen auf der linken Seite angeklickt wird.
- Klicke auf "Speichern und Aktivieren".
Image Removed Anschließend wird man auf eine Statusseite weitergeleitet, auf der ein Update läuft. Dieses Update dauert in der Regel 15-20 Sekunden. Image Removed War die Ausführung erfolgreich, so wird ersichtlich unter (1), dass bereits eine neue Ausführung automatisch geplant ist. Die aktuellen Konfigurationsdaten sind unter (2) einsehbar. Ob die letzte Ausführung erfolgreich war, lässt sich unter (3) überprüfen. Unter "Server" → "Webserver" wird ersichtlich, dass ein Let's Encrypt-Zertifikat vorhanden ist. Hier kann auch der Status überprüft werden. Was ist bei der Arbeit mit Let's Encrypt zu beachten?| Hinweis |
|---|
| title | Informationen zur Cloud |
|---|
| - Das Feature ist aktuell abgeschaltet für die Cloud. Das hängt damit zusammen, dass es sog. Rate Limits bei Let's Encrypt gibt.
- Pro registrierte Domain pro Woche können nur 50 Zertifikate beantragt werden.
- Um dieses Problem zu umgehen, müssten Anpassungen bei IPC durchgeführt werden.
|
| Hinweis |
|---|
- Eine Domainvalidierung ist aktuell nur mit HTTP-01 möglich.
- DNS-01 ist notwendig um Wildcard-Zertifikate zu verteilen. Dies erfordert Unterstützung verschiedener Provider, sowie hohe Sicherheitsanforderungen aufgrund von DNS-API-Keys.
|
| Hinweis |
|---|
| title | Ist Let's Encrypt auf anderen Providern nutzbar? |
|---|
| - Aktuell noch nicht existent
- Erfordert Support und Qualitätssicherung
- Erfordert besondere Beachtung bei Testphasen
|
Details| Info |
|---|
| | Account und Zertifikatsinformationen befinden sich im Backup Der Wechsel des Hostnamen muss manuell neu getriggert werden. |
| 
