Host Europe – SSL-Zertifikate von Let’s Encrypt verlängern

Nachdem ich vor 3 Monaten die SSL-Zertifikate von Let’s Encrypt erstellt und eingerichtet habe, ist es nun so weit, diese wieder für die nächsten 3 Monate zu verlängern. Ich habe vor Ablauf der SSL-Zertifikate am 05.05.2017 pro erstelltes SSL-Zertifikat eine E-Mail zur Erinnerung erhalten. Eine solche Erinnerungs-E-Mail habe ich 20 Tage, 10 Tage sowie einen Tag vor Ablauf der SSL-Zertifikate vom Let’s Encrypt Expiry Bot (expiry@letsencrypt.org) erhalten. Die SSL-Zertifikate können, wie auch die Erstellung,  über einen beliebigen Dienst verlängert werden. Ich bevorzuge aber auch für die Verlängerung wieder den Dienst von ZeroSSL.

Ich empfehle vor dem Lesen dieses Artikels den Artikel zur Erstellung der SSL-Zertifikate zu lesen, um die grundlegende Bedienung von ZeroSSL und den SSL-spezifischen Bereichen des Kunden-Informations-Systems von Host Europe kennenzulernen: „Host Europe – SSL-Zertifkate von Let’s Encrypt einrichten“.

Bei der Verlängerung der ersten Domain werde ich zusätzlich eine Sub-Domain mit in das (neue) SSL-Zertifikat aufnehmen. In diesem Fall lässt sich nicht der damals erstellte CSR (Certificate Signing Request) verwenden, da dieser nur für die entsprechenden Domains gültig ist. Es muss also in diesem Fall ein neuer CSR erstellt werden. Bei der Verlängerung der zweiten Domain werde ich keine weiteren Sub-Domains hinzufügen, sodass ich hier den damals erstellten CSR auch für die Verlängerung verwenden kann.

Verlängerung mit neuem CSR (zusätzliche Sub-Domain)

Let’s Encrypt bietet für die SSL-Zertifikate keinen Wildcard-Support an, lässt aber beliebig viele Domains zu. Diese müssen jedoch bei der Erstellung des SSL-Zertifikats mit angegeben werden. Sollte sich also in Zukunft an dieser „Sammlung“ der Domains etwas ändern, ändert sich auch etwas am CSR und somit auch am SSL-Zertifikat. Da ich nun also eine neue Sub-Domain mit dem SSL-Zertifikat sichern möchte, kann ich den bei der Erstellung erzeugten CSR nicht mehr verwenden. Stattdessen müssen die Domains im ersten Schritt neu angegeben werden, damit auch ein neuer CSR erstellt werden kann. Bei ZeroSSL müssen dabei alle Domains mit einem Komma getrennt angegeben werden. Im Gegensatz zur Erstellung des SSL-Zertifikats muss nun keine E-Mail-Adresse für Let’s Encrypt angegeben werden. Stattdessen muss der damals erstellte Let’s Encrypt Schlüssel im unteren Feld eingefügt werden. Durch einen Klick auf „Weiter“ wird nun ein neuer CSR erstellt und im unteren Feld der Domains angezeigt. Dieser CSR sollte abgespeichert werden, um diesen in Zukunft wieder für Verlängerungen verwenden zu können. Nach einem erneuten Klick auf „Weiter“ wird nun die Verifizierung angezeigt. Wie auch bei der Erstellung müssen wieder die entsprechenden Verzeichnisse und Dateien mit ihrem jeweiligen Inhalt auf dem Webspace erstellt werden. Nachdem alle Verifizierungen überprüft wurden, kann mit einem Klick auf „Weiter“ das Zertifikat erstellt und angezeigt werden. Im Falle eines neuen CSR wird nun das SSL-Zertifikat sowie der Schlüssel zum SSL-Zertifikat angezeigt. Diese Informationen müssen sicher gespeichert werden. Nachdem die Dateien gesichert wurden, können diese wieder im Kunden-Informations-System von Host Europe hochgeladen werden.

Verlängerung mit vorhandenem und unverändertem CSR (keine neuen Domains)

Bei der Verlängerung des Zertifikats ohne Änderung am CSR bzw. der Domains kann im ersten Schritt der Let’s Encrypt Schlüssel sowie der CSR angegeben werden, welche auch bei der Erstellung erzeugt wurden. Nach einem Klick auf „Weiter“ erscheint die Verifizierung. Diese muss auch bei einer Verlängerung durchgeführt werden, selbst wenn sich der CSR nicht verändert hat. Nachdem die entsprechenden Dateien mit ihrem jeweiligen Inhalt erstellt wurden und die Verifizierung überprüft wurde, kann mit einem Klick auf „Weiter“ das SSL-Zertifikat erstellt werden. Dort zeigt sich nun auch der Unterschied zwischen der Erstellung und der Verlängerung. Bei einer Verlängerung ohne neuen CSR wird nur noch das neue SSL-Zertifikat angezeigt. Der Schlüssel des SSL-Zertifikats ist immer noch der Gleiche wie bereits bei der Erstellung, wird hier jedoch nicht mehr angezeigt da dieser dem Besitzer des SSL-Zertifikats bekannt sein sollte. Daher müssen stets alle Informationen welche auf dieser Seite erzeugt werden, sicher abgespeichert und archiviert werden. Das SSL-Zertifikat ist neu und sollte ebenfalls abgespeichert werden. Im Anschluss kann das neu erstellte SSL-Zertifikat sowie der bereits bei der Erstellung erzeugte Schlüssel des Zertifikats im Kunden-Informations-System bei Host Europe hochgeladen werden.

sebastianbrosch

Ich bin gelernter Fachinformatiker und konnte Erfahrungen in HTML, CSS, JavaScript, jQuery, PHP sowie VB.NET sammeln. In diesem Blog schreibe ich über meine Probleme und Erfahrungen sowie Aritkel aus dem Gebiet der Anwendungsentwicklung.

Das könnte Dich auch interessieren...

5 Antworten

  1. Reinhard sagt:

    So, ich hab heute mein Zertifikat erneuert – dank Sebastians Blog und der daraus gewonnenen moralischen Unterstützung keine Probleme! 😉
    Auch die Einbindung des neuen Zertifikates bei HostEurope ist ohne Probleme von statten gegangen – allerdings sollte man vielleicht nicht so wie ich auf den allerletzten Tag warten, denn von HostEurope kommt ein Hinweis, dass die neue Zertifizierung und Erreichbarkeit bis zu 48 Stunden dauern kann. Der Aufruf meiner Domain unmittelbar (Sekunden) nach Zertifikatserneuerung endete in einem „Diese Domain ist momentan nicht erreichbar“ oder so ähnlich. Allerdings war nach weiteren wenigen Sekunden alles wieder in gewohnter Ordnung!

  2. Phillip sagt:

    Hi, kurze Frage:
    Muss der Account-Key und CSR genommen werden, oder der Domain-Key und CRT?
    Grüße Phillip

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.